Systemprotokollkonfiguration für die VPN-Router RV016, RV042, RV042G und RV082

Ziel

Ein Systemprotokoll (Syslog) wird verwendet, um Computerdaten zu protokollieren. Sie können die Instanzen definieren, die ein Protokoll generieren. Bei jeder Instanz werden Uhrzeit und Ereignis aufgezeichnet und an einen Syslog-Server oder in einer E-Mail gesendet. Syslog kann dann zur Analyse und Fehlerbehebung in einem Netzwerk bei gleichzeitiger Erhöhung der Netzwerksicherheit eingesetzt werden.

In diesem Dokument wird das Verfahren zur Konfiguration eines Syslog-Servers auf den VPN-Routern RV016, RV042, RV042G und RV082 erläutert.

Unterstützte Geräte

RV016
•RV042
・ RV042G
RV082

Software-Version

・ v4.2.1.02

Konfiguration von Syslog und Warnmeldungen

Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Log > System Log (Protokoll > Systemprotokoll). Die Seite Systemprotokoll wird geöffnet:

Syslog

In diesem Abschnitt wird erläutert, wie der Router bei der Ereignisprotokollierung detaillierte Protokolldateien an den Syslog-Server senden kann.

Schritt 2: Aktivieren Sie das Kontrollkästchen Enable Syslog (Syslog aktivieren), um den Syslog-Dienst auf dem Gerät zu aktivieren.

Timesaver: Fahren Sie mit Schritt 4 fort, wenn Syslog deaktiviert werden muss.

Schritt 3: Geben Sie den Domänennamen oder die IP-Adresse des Syslog-Servers in das Feld Syslog-Server ein.

E-Mail

In diesem Abschnitt wird erläutert, wie der Router bei der Protokollierung von Ereignissen E-Mail-Warnmeldungen senden kann.

Schritt 4: Aktivieren Sie E-Mail-Warnmeldung aktivieren, um die Funktion zu aktivieren. Dadurch kann der Router E-Mail-Warnmeldungen an die vom Benutzer angegebene E-Mail-Adresse senden.

Zeitersparnis: Fahren Sie mit Schritt 10 fort, wenn die E-Mail-Warnmeldung deaktiviert werden muss.

Schritt 5: Geben Sie die IPv4- oder IPv6-Adresse des SMTP-Servers Ihres ISP in das Feld Mail-Server ein.

Hinweis: Möglicherweise müssen Sie Ihren Router mit einem Hostnamen identifizieren. Wählen Sie Setup > Network (Setup > Netzwerk), um den Hostnamen des Routers festzulegen.

Schritt 6: Geben Sie im Feld E-Mail senden an die E-Mail-Adresse ein, an die die Warnungen gesendet werden sollen.

Schritt 7. Geben Sie im Feld Länge der Protokollwarteschlange die Anzahl der Protokolleinträge ein, die in die E-Mail aufgenommen werden sollen. Der Standardwert ist 50.

Schritt 8: Geben Sie in das Feld "Log Time Threshold" (Protokollzeitschwellenwert) die Anzahl der Minuten ein, die vor dem Senden des Protokolls Daten gesammelt werden sollen. Der Schwellenwert für die Protokollzeit ist die maximale Wartezeit, bevor eine E-Mail-Protokollmeldung gesendet wird. Wenn der Grenzwert für die Protokollzeit abläuft, wird eine E-Mail gesendet, unabhängig davon, ob der Puffer für das E-Mail-Protokoll voll ist. Der Standardwert ist 10 Minuten.

Schritt 9. (Optional) Klicken Sie auf Jetzt anmelden, um sofort eine Nachricht an die angegebene E-Mail-Adresse zu senden und die Einstellungen zu testen.

Protokolleinstellung

In diesem Abschnitt wird die Anzahl der Ereignisse erläutert, die in den Protokollen gemeldet werden können:

Schritt 10. Der Bereich "Warnmeldungsprotokoll" enthält häufige Angriffstypen und nicht authentifizierte Anmeldeversuche. Aktivieren Sie die Kontrollkästchen der gewünschten Angriffe, um sie in das Ereignisprotokoll aufzunehmen, oder deaktivieren Sie sie, um sie aus dem Ereignisprotokoll auszulassen.

・ SYN-Flooding - Der Angreifer sendet kontinuierlich viele SYNC-Pakete, was dazu führt, dass der Router mehrere Sitzungen öffnet, sodass der Datenverkehr sehr voll wird und der Router legitimen Datenverkehr verweigert.

・ IP-Spoofing - Der Angreifer sendet Pakete von einer gefälschten Quell-IP-Adresse, damit der Angriff wie legitimer Datenverkehr aussieht.

・ Win Nuke - Der Angreifer sendet eine Out-of-Band-Nachricht an einen Windows-Computer, um den Zielcomputer zum Absturz zu bringen.

・ Ping of Death - Der Angreifer sendet ein großes IP-Paket, um den Zielcomputer zum Absturz zu bringen.

・ Nicht autorisierter Anmeldeversuch: Jemand hat versucht, sich beim Router-Konfigurationsprogramm ohne ordnungsgemäße Authentifizierung anzumelden.

Schritt 11. Der Bereich "Allgemeines Protokoll" umfasst die Aktionen zum Durchsetzen konfigurierter Richtlinien sowie Routineereignisse wie autorisierte Anmeldungen und Konfigurationsänderungen. Aktivieren Sie das Kontrollkästchen eines beliebigen Ereignisses, um es in das allgemeine Protokoll aufzunehmen. Deaktivieren Sie das Kontrollkästchen, um es aus dem allgemeinen Protokoll zu entfernen.

・ Systemfehlermeldungen — Alle Systemfehlermeldungen.

・ Richtlinien verweigern — Instanzen, in denen der Router den Zugriff basierend auf Ihren Zugriffsregeln verweigert hat.

・ Zulassen von Richtlinien - Instanzen, in denen der Router den Zugriff basierend auf Ihren Zugriffsregeln genehmigte.

・ Konfigurationsänderungen - Instanzen, in denen Änderungen in der Konfiguration gespeichert wurden.

・ Autorisierte Anmeldung - Instanzen, wenn sich jemand erfolgreich beim Router-Konfigurationsprogramm angemeldet hat, nachdem er den richtigen Benutzernamen und das richtige Kennwort eingegeben hat.

・ Output Blocking Event (Ausgabe-Blockierungsereignis): Instanzen, bei denen ein Ereignis in der ProtectLink-Webreputation oder der URL-Filterung auftritt.

Hinweis: Das Ereignis zur Ausgangsblockierung ist nur auf RV082-VPN-Routern verfügbar.

Schritt 12: (Optional) Um das Systemprotokoll anzuzeigen, klicken Sie auf Systemprotokoll anzeigen. Das Fenster Systemprotokoll wird angezeigt: 

Hinweis: Protokolleinträge enthalten das Datum und die Uhrzeit des Ereignistyps sowie eine Meldung. Diese Meldung gibt den Richtlinientyp an, z. B. Zugriffsregel, LAN-IP-Adresse der Quelle und MAC-Adresse.

Schritt 13: Wählen Sie ein bestimmtes Protokoll aus der Dropdown-Liste aus.

Schritt 14. (Optional) Klicken Sie auf Aktualisieren, um die Daten zu aktualisieren.

Schritt 15. (Optional) Um alle angezeigten Informationen zu löschen, klicken Sie auf Löschen.

Schritt 16: Klicken Sie auf Schließen, um das Fenster zu schließen.

Schritt 17: (Optional) Um die Informationen zu den ausgehenden Paketen anzuzeigen, klicken Sie auf Tabelle für ausgehende Protokolle. Die Informationen werden in einem neuen Fenster angezeigt.

Schritt 18. (Optional) Um die Daten zu aktualisieren, klicken Sie auf Aktualisieren.

Schritt 19: Klicken Sie auf Schließen, um das Fenster zu schließen.

Schritt 20. (Optional) Klicken Sie auf Incoming Log Table, um die Informationen über die eingehenden Pakete anzuzeigen. Die Informationen werden in einem neuen Fenster geöffnet. Wenn eine Warnung über das Popup-Fenster angezeigt wird, lassen Sie den gesperrten Inhalt zu.

Schritt 21. (Optional) Um die Daten zu aktualisieren, klicken Sie auf Aktualisieren.

Schritt 22: Klicken Sie auf Schließen, um das Fenster zu schließen.

Schritt 23. (Optional) Um das Protokoll zu löschen, klicken Sie auf Protokoll jetzt löschen. Klicken Sie nur dann auf diese Schaltfläche, wenn die Informationen in Zukunft nicht mehr angezeigt werden müssen.

Schritt 24: Klicken Sie auf Speichern, um die Konfiguration zu speichern.