Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 2 replies
  • Subscribers 27 subscribers
  • Views 3226 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Für eine Regel ein spezieller Alarm

Ster Linga

Hallo zusammen,

 

nach erfolgloser Suche im Forum habe ich mich entschlossen einmal eine Frage zu formulieren.

 

Es ist eine Sophos im Einsatz (9.506.2) auf der sich etwa 75 Regeln befinden die verschiedene Dinge erlauben.

Alle Regeln werden geloggt, access genauso wie deny (Firmenrichtlinie)

Aus gegebenen Anlass gibt es nun eine Regel (ganz oben natürlich) die nun etwas spezielles verbietet. 

Wenn diese Regel zutrifft würde ich gerne eine besondere Alarmierung bekommen, am liebsten E-Mail oder SNMP wenn es nicht anders geht.

Leider habe ich ad hoc (auch im Forum gesucht, Frage vielleicht nicht richtig formuliert)  nichts gefunden wie ich derartiges umsetzen kann.

Vielleicht hat jemand einen Tipp für mich. Wenn es jemand geben sollte der mir definitiv bestätigen kann

das so etwas NICHT geht wäre ich ebenfalls für eine Antwort dankbar damit ich meine Bemühungen einstellen kann.

 

Eventuell ein Feature request candidate

 

Vielen Dank

Gruß Ster

 

 



This thread was automatically locked due to age.
  • +1

    Puh...also ich arbeite seit 16 Jahren mit Astaro/Sophos UTM, aber eine Möglichkeit einen Alarm auszulösen wenn eine bestimmte Regel angesprochen wird ist mir noch nicht untergekommen.

    Die einzige Möglichkeit, die ich im Moment sehe, ist das Auswerten der Logfiles und finden eines Strings, der die Firewallregel beinhaltet um die es geht. Das geht natürlich nicht auf der FW selbst, sondern z.B. auf einem Linux Loghost. Ich lasse mir die Logs meiner FW zu einem solchen Loghost schicken und habe dort im rsyslog verschiedene Regeln, die mir die Logs splitten und in unterschiedliche Dateien ablegen.

    Da könnte man nun eine Regel bauen, die auf ulogd und fwrule=12 (Als Beispiel) selektiert und diese in eine extra Datei ausgibt. Dann einen Cronjob erstellen, der auf Änderung des Datums der Logdatei triggert und der eine Mail schickt. Mal so ins unreine überlegt. :)

  • 0 in reply to gsxfan

    Hallo gsxfan,

     

    erst einmal vielen Dank für die Antwort. Zum einen weil sie mich von dem Verdacht befreit irgendetwas nicht mit bekommen zu haben (arbeite auch schon fast 16 Jahre mit der Sophos)

    zum anderen für den Hinweis mit syslog Server. Haben wir natürlich auch im Einsatz und ich müsste mir jetzt so etwas stricken wie Du es auch machen würdest. Aber der Mensch ist ja etwas faul und ich dachte es würde Leute geben die sich auch so etwas von der Sophos wünschen würden. Für allen möglichen Kram kann man sich Mails schicken lassen warum nicht für so etwas.

    Mir ist natürlich klar das bei unsachgemäßer Benutzung man damit einen Mail-Server sprengen kann oder gleich die Firewall mit. Aber auch das lässt sich ja mit bekannten und benutzten Mechanismen der Firewall unterbinden. Zum Beispiel nur alle 5 Minuten eine Mail oder ähnlich.

    Im Prinzip wundere ich mich das dass noch nicht Aufnahme gefunden hat. Das könnte doch schon andere Leute brennend interessiert haben.

     

    Aber in erster Linie Dank an Dich.

     

    Gruß Ster