Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 3 replies
  • Subscribers 8 subscribers
  • Views 1385 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to log only errors in reverseproxy.log

Sascha K

Hallo,

auf unserer XG wird die reverseproxy.log in weniger als 2 Stunden vollgeschrieben. Und es läuft noch lange nicht alles über WAF das geplant ist.
Zum Glück von fast ausschließlich normalen / erfolgreichen Verbindungen.

Gibt es eine Möglichkeit, die Events die in die reverseproxy.log geschrieben werden, auf Fehler zu beschränken?
Also security2:error, url_hardening:error oder form_hardening:errors dort zu protokollieren, die erfolgreichen Verbindungen jedoch nicht?

Danke



Added TAGs
[edited by: Erick Jan at 8:34 AM (GMT -7) on 29 May 2023]
Parents
  • +1

    Nein, das ist nicht möglich. Für solche Anfragen sollte eine SIEM Lösung betrachtet werden. Alternativ wäre auch Central Firewall Reporting möglich. 

    Syslog Server können in der Regel das besser sortieren und bieten mehr Speicher an. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Danke für die Rückmeldung. Das ist schade.
    Die Veröffentlichung der Exchange Web Services produziert über 1000mb Logtext am Tag, heißt die reverseproxy.log wird am Tag mehrfach neu erstellt. Im Weblog komm ich aber mindestens 2 1/2 Tage zurück, heißt die Logs werden wohl archiviert.

    Die Logs extern aufzubewahren und auszuwerten wäre für eine tiefergehende Analyse und länger währende Aufbewahrung sicher sinnvoll. Aber ich würde es im Alltag gerne vermeiden, dass die Logs überhaupt erst geschrieben werden.

    In diesem Thread soll das logging durch Anpassung der reverseproxy.conf unter /usr/apache/conf/httpd.conf manipuliert werden. Angenommen der Apache erlaubt das anpassen des Loglevels:
    wäre das ein gangbarer Weg, oder eher keine gute Idee die Konfigurationsdateien dort zu verändern?

  • +1 in reply to Sascha K

    Das ist offiziell nicht von Sophos unterstützt, diese Änderung vorzunehmen.

    Ich würde wie gesagt einen SIEM oder Syslog Server vorschlagen. Das löst alle Herausforderungen.

    Alternativ, und das geht in eine andere Richtung, wäre natürlich auch Office365 auch eine Lösung. Microsoft hat viele Dinge mit Exchange Online bereits adressiert 

    __________________________________________________________________________________________________________________

Reply
  • +1 in reply to Sascha K

    Das ist offiziell nicht von Sophos unterstützt, diese Änderung vorzunehmen.

    Ich würde wie gesagt einen SIEM oder Syslog Server vorschlagen. Das löst alle Herausforderungen.

    Alternativ, und das geht in eine andere Richtung, wäre natürlich auch Office365 auch eine Lösung. Microsoft hat viele Dinge mit Exchange Online bereits adressiert 

    __________________________________________________________________________________________________________________

Children
No Data
Unfiltered HTML