[zorp-hu] syslog proxy
HÖLTZL Péter
zorp-hu@lists.balabit.hu
Thu, 11 Sep 2003 14:18:06 +0200
On Thu, 2003-09-11 at 14:03, narancs wrote:
> Sziasztok!
>
> a dilemma a következő:
>
> tűzfal mögötti eszközök szeretnének loggolni egy loggyűjtő gépre.
>
> Lehetőségek:
>
> - syslog-ng van a tűzfalon és abban állítok be egy szabályt
> Előny: úgymond alkalmazás proxy, és a syslog-ng jól konfigolhatósága
elony: kaphat csomagot UDP-n es kuldheti tcp-n, stunnelen vagy ssh
portforwardon
> Hátrány: ha valamelyik gép DoS-eli a syslog démont a lokális
> loggolás is elpusztulhat.
nem biztos, csinalhatsz chroot-ot is a tavoli loggolast nativ proxyzo
syslog-ng-nek!
> - zorp udp-plug
> Előny: nem kockáztatom a tűzfal logrendszerét
> Hátrány : nincs adatelemzés.
az udp plug sajnos performancia okokat okozhat, ha nem megfeleloen
meretezed a vasat. A baj az, hogy ha mar nem birja a gep, akkor
csomagokat fog eldobni ami nagyon nem szerencses.
> Kérdés:
>
> 1. lehet-e syslog-ng-ből másik instance-t futtatni másik konfiggal? és
> nobody userként?
Bazsi?
> 2. vagy tervezitek-e natív syslog proxy megírását a zorpba?
hat syslog proxy nem valoszuni, hogy lesz, mert nincs nagyon mit
elemezni rajta sajnos...
HOLTZL Peter