How to log only errors in reverseproxy.log

Hallo,

auf unserer XG wird die reverseproxy.log in weniger als 2 Stunden vollgeschrieben. Und es läuft noch lange nicht alles über WAF das geplant ist.
Zum Glück von fast ausschließlich normalen / erfolgreichen Verbindungen.

Gibt es eine Möglichkeit, die Events die in die reverseproxy.log geschrieben werden, auf Fehler zu beschränken?
Also security2:error, url_hardening:error oder form_hardening:errors dort zu protokollieren, die erfolgreichen Verbindungen jedoch nicht?

Danke

Parents
  • Nein, das ist nicht möglich. Für solche Anfragen sollte eine SIEM Lösung betrachtet werden. Alternativ wäre auch Central Firewall Reporting möglich. 

    Syslog Server können in der Regel das besser sortieren und bieten mehr Speicher an. 

    __________________________________________________________________________________________________________________

  • Danke für die Rückmeldung. Das ist schade.
    Die Veröffentlichung der Exchange Web Services produziert über 1000mb Logtext am Tag, heißt die reverseproxy.log wird am Tag mehrfach neu erstellt. Im Weblog komm ich aber mindestens 2 1/2 Tage zurück, heißt die Logs werden wohl archiviert.

    Die Logs extern aufzubewahren und auszuwerten wäre für eine tiefergehende Analyse und länger währende Aufbewahrung sicher sinnvoll. Aber ich würde es im Alltag gerne vermeiden, dass die Logs überhaupt erst geschrieben werden.

    In diesem Thread soll das logging durch Anpassung der reverseproxy.conf unter /usr/apache/conf/httpd.conf manipuliert werden. Angenommen der Apache erlaubt das anpassen des Loglevels:
    wäre das ein gangbarer Weg, oder eher keine gute Idee die Konfigurationsdateien dort zu verändern?

  • Das ist offiziell nicht von Sophos unterstützt, diese Änderung vorzunehmen.

    Ich würde wie gesagt einen SIEM oder Syslog Server vorschlagen. Das löst alle Herausforderungen.

    Alternativ, und das geht in eine andere Richtung, wäre natürlich auch Office365 auch eine Lösung. Microsoft hat viele Dinge mit Exchange Online bereits adressiert 

    __________________________________________________________________________________________________________________

Reply
  • Das ist offiziell nicht von Sophos unterstützt, diese Änderung vorzunehmen.

    Ich würde wie gesagt einen SIEM oder Syslog Server vorschlagen. Das löst alle Herausforderungen.

    Alternativ, und das geht in eine andere Richtung, wäre natürlich auch Office365 auch eine Lösung. Microsoft hat viele Dinge mit Exchange Online bereits adressiert 

    __________________________________________________________________________________________________________________

Children
No Data