Syslog ist ein Werkzeug um von IT Systemen Nachrichten zum Status einzusammeln. Dabei dient ein zentraler Syslogserver als Datensammelpunkt.
AVM FritzBox ist sehr verbreitet doch genau diese Funktion fehlt dem Router leider. AVM hat hier keine Lösung parat, obwohl dieses doch erheblich der Sicherheit und der Dokumentation dient. Selbst billige WLAN Access Points made in Fernost besitzen dieses Feature und das ist auch gut so.Warum ist Syslog so wichtig?
In einem zentralen SYSLOG Server werden die Systemmeldungen von Netzwerkgeräten abgelegt. In dem Fall das die Systeme einen Defekt haben kann dann von dem Syslog Server aus ein Event generiert werden und der Betreuer der Systeme wird informiert. Diese Events sind unterschiedlich kategorisiert und können von leicht bis schwerwiegend sein. Diese Alarmierung hilft Schaden abzuwenden. Dabei kann es ein Windows Rechner sein dessen Festplatte sich beginnt zu verabschieden oder aber auch ein Zugriffssystem, welches einen nicht autorisierten Zugriff feststellt. Das alleinige schreiben solcher Meldungen in eine Logdatei, wie es AVM auf der Fritz Box macht ist dabei keinesfalls die Lösung. Schon gar nicht, wenn auf die Logdatei aus gesicherter Umgebung nicht zugegriffen werden kann.
Gibt es Alternativen ?
AVM schreibt die Systemmeldungen in eine Datei, welche dann aus dem Webfrontend heraus ausgelesen werden können. Dieses ist prinzipiell kompliziert und mal Hand aufs Herz, wer macht das regelmäßig?
Nehmen wir einmal ein Beispielszenario an:
Jemand hat sich auf Ihrem Router Zugriff verschafft und nutzt die Telefonfunktionalität der FritzBox für Auslandsgespräche. Bevor sie es merken sind mehrere Hunderte bis Tausende Eure vertelefoniert und der Schaden bleibt bis zur Rechnung unentdeckt. Nach den Telefonaten löscht der Angreifer das Logfile.
In einer SYSLOG Konstellation würde für so etwas eine Meldung auftauchen, der SYSLOG Server generiert ein Event daraus und alarmiert den Verantwortlichen.
Zugegeben, auch das muss konfiguriert sein und geht nicht von selbst. Das ist aber einfacher und wird NUR einmal getan. Ohne einen SYSLOG Server würden sie auf der FritzBOX bis zur Rechnung nicht mal sehen dass ein Angriff/ Fremdnutzung stattgefunden hat. Sie können es auch nicht nachvollziehen. Mit SYSLOG Server hätten Sie die Logs auf einem sicheren System liegen und hätten quasi in Echtzeit eine Alarmierung gehabt. Wertvolle Zeit zum Reagieren und Schaden abzuwenden.
Ich habe ein Skript erstellt welches die Webseite der FritzBox mit den Systemmeldungen ausliest und dieses Meldungen per Mail einmal am Tag versendet. Es ist noch in der Testphase aber läuft bereits seit einigen Tagen zuverlässig. Das ist schon einmal ein Anfang.
In einem weiteren Schritt müsste dieses Skript in kleineren Intervallen laufen und im sogenannten polling die Webseite mit den Systemmeldungen abfragen. Die Meldungen aufbereiten und dann an den zentralen SYSLOG Service senden. Da steckt noch etwas Zeit und Arbeit drin. Wenn es fertig ist – kann ich es mal zur Verfügung stellen.
Stay Tuned!
Links:
http://www.georg-keller.eu/nc/neuigkeiten-blog/news-archive/news-single/article/einsatz-von-syslog-auch-zu-hause-sinnvoll-teil-1.html
imported from www2.georg-keller.eu
Wie ist den hier der aktuelle Stand der Dinge? Ich habe die Seite gerade gefunden weil ich nach einer Möglichkeit suche die Logs der Firtzbox zu persistenten…. Leider habe ich auf der Seite keine weiteren/neueren Einträge dazu gefunden.
Hallo Alex
Leider keine Neuigkeiten oder Updates. Ich finde es bis heute schade das AVM es nicht implentiert an einen Syslog Host die Meldungen zu senden. Ich habe ein paar Seiten gefunden wo jemand „kompliziert“ die Webseiten ausliest. Das ist aber nicht das was ich machen möchte. Aus welchem Grund sich AVM weigert eine solche Funktion einzubauen verstehe ich absolut nicht.
VG, Georg
Good morning Georg,
I found your page cause I’m looking for a way to send log from my fritxbox to my syslog central server too. I did not find any feature to do that, so I guess that avm doesn’t want enable logging other than local.
If someone found any way please share the knowloedge
Thanks!
Good morning. I am missing this feature since years. I know/ found some projects on the Web where people extract log entries out of the websites from The AVM Box.
Bad that is not the same as using syslog functionality and it is an unsupported way.
fhem project maybe tell a hint how to setup and run an own logger