syslog-ng loghost

robert rlanghammer at web.de
Do Aug 9 21:49:02 CEST 2018 

Hallo Peter,


Am 09.08.2018 um 18:37 schrieb Peter J. Philipp:
> Hey Robert,
>
> Brauchst du unterstützung mit gateways im Schweinfurter v2?   Ich
> könnte was aufbauen aber ich bin ein systemd muffel, ich würde devuan
> Linux benutzen.  Würde so ein 3 EUR cloud computer von Hetzner reichen?
systemd-muffel :-) und ich bin happy, dass ich nun endlich alles als
systemd-service am laufen habe! Weg mit dem alten Zeug ;-)

Fuer den Anfang reicht so ein kleiner Vserver zum Lernen. Da verbraet
man nicht viele Euros, auch wenn es nicht gleich klappt. Ich kipp
aktuell ueber https://www.azirevpn.com/wireguard ab. Kostet nix, ist
richtig schnell und braucht viel weniger CPU als openvpn. Wenn man mit
l2tp auch noch den ff-tunneltraffic in den Kernelspace legt, hat die CPU
fast nichts zu tun.
>
> Wo würde ich config samples finden um einen v2 gateway aufzubauen?
Wie Miki schon geschrieben hat, gibt es da mehrere Seiten im Wiki, die
nur als Anregung dienen sollten. Ich habe auch vieles ganz anders
geloest als es dort beschrieben ist. Ist halt Geschmackssache.

Die Schweinfurtv2 ist erst mal ausreichend versorgt mit 2 Gateways. Die
neuen Hoods sollen ja auch nicht so gross werden. darum ist es
natuerlich gut, wenn neue Gateways entstehen.
Zum Aufbauen und Testen ist es allerdings einfacher, wenn du erst mal
mit in die Schweinfurter Hood kommst. Wenn alles laeuft, ist es einfach
eine neue Hood einzurichten.

Aber das eigentlich Gute ist, dass man dabei richtig viel lernen kann.

Robert


>
> Grüße,
>
> -peter
>
> PS: Ich hab die links die du gesendet hast nicht gelesen denn
> vielleicht ist der aufwand für loghost fehl am Platz wenn ein gateway
> server gebraucht wird.
>
> On 08/09/18 10:43, robert wrote:
>> Das Logging wurde komplett auf journald umgestellt. Damit die ganzen
>> Admins nicht ausflippen, gibt es ein Socket /run/systemd/journal/syslog
>> worueber rsyslog gefuettert wird. Ist also nur eine Weiterleitung, um
>> die Gemueter zu beruhigen.
>>
>> https://wiki.ubuntuusers.de/systemd/journald/
>>
>> journald-remote: https://github.com/mattes/systemd-journal-remote
>>
>> Robert
>>
>>
>> Am 09.08.2018 um 10:22 schrieb Peter J. Philipp:
>>> Hallo Robert,
>>>
>>> Hab ich ja noch nie von gehört!  Hab gerade dieses hier gegoogelt:
>>> https://www.loggly.com/blog/why-journald/ also da gibts ja auch keine
>>> möglichkeit zu einem remote loghost was zu senden.  Schade, denn ich
>>> denke ein loghost wäre was gutes für die organisation.
>>>
>>> Die meisten syslogs haben einen socket auf /dev/log kann man da ein
>>> symlink auf /dev/null anstatt machen für journald oder ist das mehr
>>> komplex?
>>>
>>> Viele Grüße,
>>>
>>> -peter
>>>
>>>
>>> On 08/09/18 10:06, robert wrote:
>>>> Hallo Peter,
>>>>
>>>> das Logging ist wirklich immer wieder ein Thema. Das Problem ist
>>>> eigentlich, wie bekomme ich das Logging für verschiedene Dienste ganz
>>>> aus. Also keine IPs, MACs DNS Anfragen usw. Was ich nicht habe,
>>>> kann ich
>>>> auch nicht rausgeben, wenn es mal blöd kommt.
>>>>
>>>> Für das "normale" Log des Systems, wäre es allerdings schon eine
>>>> Überlegung wert. Allerdings läuft das Logging über journald. Da sollte
>>>> man mal schauen, was systemd-journal-remote kann. Ich versuche mich
>>>> grad
>>>> an journald zu gewöhnen. Das ist schon richtig gut gemacht. Allerdings
>>>> muss man erst die alten Gewohnheiten los werden. Nun ja, bei ifconfig
>>>> <-> ip und init <-> systemd hat es auch geklappt ;) Irgendwann werden
>>>> wir uns von syslog & co. verabschieden.
>>>>
>>>> Viele Grüße
>>>>
>>>> Robert
>>>>
>>>>
>>>> Am 09.08.2018 um 01:40 schrieb Peter J. Philipp:
>>>>> Hallo,
>>>>>
>>>>> Ich will mehr in der Infrastruktur mithelfen und habe was gefunden wo
>>>>> ich mitwirken kann, und, auch beim OpenBSD bleiben kann.   Ich habe
>>>>> schon einen Hetzner Online Cloud computer seit 7 Jahren oder so.
>>>>> Kürzlich habe ich es erneuert und die geben 20 TB traffic pro monat.
>>>>> Das hat mich auf die Idee gebracht das ja viele Freifunker probleme
>>>>> mit logging haben.
>>>>>
>>>>> Ich biete meinen VPS/Cloud computer an als zentralen Loghost mit
>>>>> syslog-ng.  Wenn da interesse besteht mir einfach eine mail schicken,
>>>>> und dann handeln wir weiter.  Wenn keine interesse besteht dann kein
>>>>> problem.  Ich habe erfahrung mit syslog-ng über TCP und würde das
>>>>> auch
>>>>> hier einsetzen.  Was passiert ist das syslog-ng eine TCP session
>>>>> aufmacht und dann alles über diese session sendet.  Wenn der tcp
>>>>> abreisst versucht es erneut einen aufzumachen, und man kann syslog-ng
>>>>> auch sagen wieviel es im speicher cachen soll bis es wieder eine
>>>>> session aufbekommt.
>>>>>
>>>>> Hauptsächlich würde ich auch ein benutzer konto pro loghost aufmachen
>>>>> so das die logs auch gelesen werden können.  Das rotieren der logs
>>>>> ist
>>>>> auch meine aufgabe da ich um die 1 GB im /var habe und bei 10 hosts
>>>>> die loggen ist das schon 100 MB pro host, also nicht besonders viel.
>>>>>
>>>>> Dies ist ein weg wie wir logs konsolidieren können, auch, um die logs
>>>>> vom anderen zu sehen.  Wenn CPU (ich habe nur einen VCPU) zeit
>>>>> erlaubt
>>>>> können wir auch skripte über die logs laufen lassen um potentielle
>>>>> fehler frühzeitig zu erkennen.  syslog-ng hat besondere filter so das
>>>>> man ausfiltern kann was man über netz sendet, und was auf dem lokalen
>>>>> host bleibt.  Ich kann helfen mit den regeln.
>>>>>
>>>>> Um dieses umzusetzen müsst ihr rsyslog verbannen und syslog-ng
>>>>> einbauen.  Geht nicht anders.
>>>>>
>>>>> Grüße,
>>>>>
>>>>> -peter
>>>>>
>>>>>
>

Mehr Informationen über die Mailingliste franken