Ich experimentiere mit Graylog, einer Plattform zum zentralen Sammeln, Aufarbeiten, Auswerten von Protokollen. Eine Unifi Dream Machine Pro schickt ihre Log-Daten dorthin. Heute habe ich gelernt, dass es eine blöde Idee ist, die Protokoll Einträge der default Firewall policy an das SIEM-System zu schicken.
Die Graylog Installation läuft als virtuelle Maschine auf einem Proxmox-Host, als ich heute abend die Systemlast geprüft habe, fiel mir auf, dass der Host bei etwas über 60% CPU-Last lief. Die virtuelle Machine mit der Graylog Installation war der Hauptkonsument.
Ich habe wohl unterschätzt, dass das Einsammeln und Verarbeiten von Unmengen an Firewall-Einträgen das System über Gebühr belastet. Im Beitragsbild habe ich hinterlegt, welcher Eintrag zu setzen ist, damit die UDM-Pro ihre Firewall Logs der default policy für sich behält. Diese Konfiguration ist zu finden unter Settings/Integrations und ist nur sichtbar, wenn bei “Activity Logging” ein “SIEM Server” ausgewählt ist.
Kaum ist die Einstellung auf der UDM-Pro aktiv, geht die Systemlast von 60% auf angenehme 10% runter. Now you know.