Wie kann ich prüfen, welche Syslog-Meldungen ankommen? Werden die Meldungen irgendwo gespeichert?
Lösung:
Im Folgenden wird beschrieben, wie der Sensor im Zusammenspiel mit dem Syslog-Server funktioniert.
Funktionsweise Syslog-Sensor und Syslog-Server
Der Sensor arbeitet so, dass er die Meldungen, die der Syslog-Server empfängt, analysiert und auswertet. Hierbei sammelt der Server alle ankommenden Nachrichten in einer Datenbank auf die der Sensor im Anschluss dann gemäß des eingestellten Intervalls zugreift. Durch diese Vorgehensweise gehen keine Nachrichten verloren.
Wenn Du nun genau prüfen willst, welche Daten ankommen, kannst du einen Blick in die Datenbank werfen. Hierzu kannst du das Programm DB Browser for SQLite verwenden (Dieses Tool gibt es in der jeweils aktuellsten Version hier: https://sqlitebrowser.org/ )
Kopiere nun die Datei C:\ProgramData\ServerEye3\Syslog.db an einen anderen Ort, damit du diese Datei öffnen kannst ohne Dateisperrungen zu verursachen.
Wichtig: Bitte stets nur eine Kopie der Datenbank an einem anderen Speicherort öffnen. Ansonsten sorgen Dateisperrungen dafür, dass der Syslog-Server nicht mehr auf die Datei zugreifen kann und somit in einen Fehler geht!
Öffnen der Datenbank
Sobald der DB Browser for SQLite installiert ist kannst du die Datenbank öffnen.
- Starte das Programm und wähle "Datenbank öffnen"
- Navigiere im Öffnen-Dialog zum Speicherort der Datenbankkopie, z.B. "C:\Temp\" und öffne hier die Datei syslog.db
- Wähle unter "Datenbankstruktur" unter "Tabellen" die Tabelle "syslogTable" aus, klicke mit der rechten Maustaste und wähle im Kontextmenü "Tabelle durchsuchen" - jetzt werden alle vom Syslog-Server erfassten Meldungen eingelesen.
Du kannst nun prüfen, welche Filterung der Syslog-Server bereits vornimmt. Diese Filterung basiert auf verschiedenen bekannten Syslog-Nachrichtenformaten. In der Tabellenspalte "Message" findest du die eigentliche Nachricht - hat der Server aber Probleme, die ankommende Syslog-Meldung zu interpretieren findest du hier die komplette Syslog-Meldung. Hierdurch ist gewährleistet, dass in jedem Fall der Schlüsselwort-Check funktioniert.
Beachte: Als Datum der Nachricht verwendet der Server das Datum, das mit der Syslog-Meldung mitgesendet wurde. Kommt es bei der Interpretation des Datums durch das offene Format der Syslog-Meldungen zu einem Fehler, so wird die aktuelle Zeit des Syslog-Servers verwendet.