SIEM, IPS/IDS etc.

rednag

rednag

Well-known member
Nutzt ihr für euer (Heim)Netz irgendein Tool über das Monitoring/Überwachung wie zum Beispiel etwa Wazuh oder Security Onion? Für den privaten Anwender mit einer Fritzbox vermutlich ein wenig oversized, aber es soll ja auch Anwender geben welche daheim fast schon ein RZ in Betrieb haben. Betreibt ihr den Aufwand das System an das heimische LAN und Geräte anzupassen?
 
Sowas wie Wazuh nutze ich nicht, weil mir das zu viel ist. Mein Monitoring besteht nur aus Gatus, dass die Uptime überwacht und Dozzle für die Docker Logs.
 
Ich habe auf meiner OPNsense in Anfangszeiten mal mit IDS/IPS von ET pro Telemetry gespielt... Das erfordert aber ständige Pflege und entsprechende Kontrolle damit das ordentlich funktioniert, das war es mir nicht wert.
 
Moinsen,
hier habe ich kein IDS /IPS im Einsatz, weil intern alles per https verschlüsselt und ehrlich gesagt der Aufwand viel zu groß.
Was ich aber generell nutze als Monitoring ist:
- uptimekuma auf je einer docker Instanz für den Online/Offline Status der clients und container
- beszel als container für Monitoring von vms, NAS und Home Assistant
- meine landing page ist gethomepage.dev. Die bietet diverse widgets als Info (online per Ping, per API Angabe über Ressourcen am host usw, aus den docker containern, etwa wieviele proxyhosts unter nginx gerade on oder offline sind). Nice für den schnellen ersten Blick :)

Neben dem ganzen bunten Blingbling aber viel wichtiger IMHO: die Benachrichtigungen...;)
Also
- schickt mir beszel eine EMail, wenn definierte Parameter für Zeitraum X außer Rand und Band
- schickt mir uptimekuma eine EMail, wenn Geräte den Status wechseln ("XX ist offline" oder "online")
- schicken mit die diversen hosts (so denn möglich) Emails (also proxmoxbackupserver wenn Fehler, Synology NAS nach Definition, usw)
- schickt mir Home Assistant auch eine Nachricht auf die App an den mobilen, falls (dank Uptimekuma Integration) zusätzlich zur Mail eine Nachricht.

Das geht alles an eine eigene EMail Adresse, so dass ich direkt sehe, was da so eintrudelt...und ist erstaunlich übersichtlich. :)
 
🙃

the other schrieb:
Das geht alles an eine eigene EMail Adresse, so dass ich direkt sehe, was da so eintrudelt...und ist erstaunlich übersichtlich. :)
Zum Vergrößern anklicken....
Wenn es sich häufen sollte, ggf. noch was dran hängen, um zu prüfen, ob auch alle Mails mit entsprechend gewünschtem Text vorhanden sind und dann anderweitig einfach nur "eine" Mail raushaut von wegen "Ist alles in Ordnung", oder "Alarm! Guck mal besser nach..." 😁
 
the other schrieb:
meine landing page ist gethomepage.dev. Die bietet diverse widgets als Info (online per Ping, per API Angabe über Ressourcen am host usw, aus den docker containern, etwa wieviele proxyhosts unter nginx gerade on oder offline sind). Nice für den schnellen ersten Blick
Zum Vergrößern anklicken....
Hatte ich auch mal, also die Widgets, aber irgendwann fand ich das voll nervig, wie viele Requests immer raus gehen. Ich hab das als Startseite. Irgendwann habe ich dann alle Widgets verbannt :D

the other schrieb:
Neben dem ganzen bunten Blingbling aber viel wichtiger IMHO: die Benachrichtigungen...;)
Zum Vergrößern anklicken....
Dem kann ich nur zu stimmen. Ich setze komplett auf Ntfy dafür. Lief da Backup durch oder gab es Fehler? => Ntfy, Ist etwas offline? => Ntfy.

Ich hab mir extra einen kleinen 2€ vServer bei Netcup geholt der per VPN mit zu Hause verbunden ist. Da läuft Gatus und Ntfy. Wenn Hauptserver ausfallen sollte, dann bekomme ich immerhin noch Nachrichten bzw. das Monitoring läuft weiter.
 
Moinsen,
:)
Jupp, bei EInrichtung (und immer mal) werden alle eingerichteten Mail Benachrichtigungsdienste getestet. Funktionieren alle...
ALs Absender sehe ich dann immer direkt, wer es schickt (auch bei den Fake ".example" mails), kann also direkt zuordnen.
Und da wo möglich, wird ein automatisierter Text geschickt (zB bei Uptimekuma per Variables)...
Das meldet sowohl offline aber eben auch wenn etwas wieder online geht...sonst wäre es ja eben das Gegenteil von
the other schrieb:
ist erstaunlich übersichtlich
Zum Vergrößern anklicken....
;)
Aber im Ernst: dein Hinweis ist absolut korrekt...einfach nur den ganzen bunten Monitoring Daten Überfluss gegen zig unsortierte Email tauschen (beides wird stumpf irgendwann ignoriert > überflüssig!), meep, doof das. Daher lieber in Ruhe einrichten und nicht einfach in zig Diensten aktivieren und dann genervt im Postfach ungelesen löschen. ;)
 
Moinsen,
*alx* schrieb:
aber irgendwann fand ich das voll nervig, wie viele Requests immer raus gehen.
Zum Vergrößern anklicken....
Wie hat sich das gezeigt?
Ich habe hier auch einige am Start und da ich im Alltag genau null Unterschied zu früher habe...bisher egal. Und alles was da abgefragt wird steht im Zweifelsfall direkt daneben, also lokal. Bisher find ich das Ding (gethomepage) echt nett, besser als die ausprobierten Alternativen...
heimdall ist ok, homarrr fand ich total bescheiden und irgendwie auch buggy. Bei homepage mag ich die Vielfältigkeit...
 
Ich hatte es als Startseite und immer wenn ich einen neuen Tab öffne, dann gingen da die 30 oder 40 Requests raus. Es gab immer wieder einen kurzen Ruckler. Als ich die entfernt habe lief alles wieder flüssig. Davon ab hab ich auch für mich gemerkt, dass es mir egal war, was da steht. Ich hab da nie aktiv drauf geguckt. Ich habs am liebsten, wenn sich das System einfach meldet wenn was nicht passt :D
 
Moinsen,
ah, okay, danke für die Erklärung. Das habe ich hier bisher nicht bemerkt. Es läuft alles flüssig. Ich schaue da schon auch mal drauf, gerade weil es bisher durchaus recht aktuell Dinge anzeigt (hier mal ein Backup, das nicht erfolgte, da mal ein Container, der nicht automatisch startete...), die zwar schnell behoben waren, aber dadurch auch schnell ins Auge fielen. Also für mich bisher noch mit Mehrwert.
*alx* schrieb:
Ich habs am liebsten, wenn sich das System einfach meldet wenn was nicht passt
Zum Vergrößern anklicken....
Dito, daher die Benachrichtigungen...und am besten, wenn sich da gar nix meldet (weil alles passt). ;)
 
*alx* schrieb:
Ich habs am liebsten, wenn sich das System einfach meldet wenn was nicht passt :D
Zum Vergrößern anklicken....
Wird nur schwierig, wenn das Meldesystem selbst ein Problem hat. Von daher: Auf jeden Fall eine Benachrichtigung und wenn es nur so ist, wie oben beschrieben (wenn x Mails mit entsprechendem Inhalt, dann "eine" Mail mit "OK", oder halt Alarm), aber so "garnicht" wenn nichts ist, könnte halt auch ins Auge gehen... Ich mein ja nur... 😇
 
Das stimmt.... Deshalb schicke ich mir auch Notifications, wenn etwas erfolgreich war. Also z.B. ein Backup. Oder wenn ein geplanter Job fertig ist. Das sind jetzt nicht 100 am Tag und daher geht das noch. Wenn also nichts ankommt, dann werde ich stutzig :)
 
Moinsen,
daher hier auch die diversen uptimekuma Instanzen...nicht weil ich da immer drauf schaue ;).
Aber so überwacht zb die Instanz auf der VM auf dem proxmox host etwas...wird dabei selber überwacht durch die Instanz auf dem Home Assistant host (nicht auf proxmox). Zwischendurch hatte ich auch mal eine 3. Instanz auf dem NAS, die dann die beiden anderen gecheckt hat...
Und am Ende hab ich hier eh schön Router on a Stick...wenn also der zentrale Switch oder der Router wegfällt dann merk ich das spätestens beim Einschalten am PC / mobilen client...ganz analog: kein Netz. :D
 
Moinsen,
*alx* schrieb:
Deshalb schicke ich mir auch Notifications, wenn etwas erfolgreich war.
Zum Vergrößern anklicken....
Das hatte ich auch kurz...da ich aber zT tgl. backups mache (home assistant, proxmox, PC), fand ich das schnell ermüdend und hab es dann doch wieder umgedreht: Fehlernachricht ja, keine Bestätigung mehr. Hat in den 2 Fällen bisher auch funktioniert. Und wenn wie gesagt der ganze server dazu abraucht, dann meldet sich uptimekuma mit einer Nachricht. Die positives waren mir dann doch too much ;).
 
Bitte wieder zum ursprünglichen Thema zurück.

Zweifellos sind Benachrichtigungen eine wichtige Sache, können aber in einem seperaten Thread besser behandelt werden.

Vielen Dank für euer Verständnis.
 
Vielen Dank für eure Antworten. Den Aufwand scheue ich auch ein wenig. Auch weil es sich ja "nur" um ein Heimnetz handelt. Der Spieltrieb aber und die schöne Visualisierung....Ich bin ein optischer Mensch - finde ich schon toll 😂. Gatus und Dozzle kannte ich bisher nicht. Werde ich aber im Auge behalten. Danke für den Hinweis.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
7.730
Beiträge
75.620
Mitglieder
8.334
Neuestes Mitglied
ali710

Teilen

Zurück
Oben