Zum Inhalt

Graylog Syslog Collector

Zentraler Syslog-Collector fuer Kunden-, Schul- und Standortlogs.

System

Feld Wert
Proxmox Host 10.0.0.220
LXC 108
Hostname graylog-syslog-01
IP 10.222.60.20/24
VLAN 60
Bridge vmbr0
Gateway 10.222.60.1
OS Ubuntu 24.04 LTS
Stack Graylog 7.1.3, Graylog Data Node, MongoDB 8.0.4
Docker nicht verwendet

GUI/API:

  • http://10.222.60.20:9000
  • http://graylog.ad.lanstyle.de:9000

Startseite:

  • http://start.ad.lanstyle.de enthaelt den Graylog-Link in der Gruppe Monitoring.

Credentials und Secrets liegen in Vaultwarden, nicht im Wiki:

  • Graylog Syslog Collector - 10.222.60.20
  • Lanstyle / UniFi API
  • SMS / UniFi UDM Pro API
  • Artis / UniFi UDM Pro API
  • Jena / UniFi UDM Pro API
  • Speed / UniFi UDM Pro API
  • SGJ / UniFi API Key - Projektfund
  • Oberhof / Aruba Instant Controller
  • Aruba / Switch Admin Fallback Passwords

Inputs

  • central-syslog-udp-1514
  • central-syslog-tcp-1514
  • central-syslog-udp-514-aruba

Ports:

  • UDP 1514
  • TCP 1514
  • UDP 514 fuer Aruba Instant/AP-Controller, weil AOS-8 Instant CLI syslog-server <IP-address> ohne Portoption nutzt
  • UDP 514 nutzt allow_override_date=false, damit fehlerhafte oder zeitzonenverschobene Aruba-Uhren Logs nicht in die Zukunft indexieren

TLS 6514 ist als spaetere Phase vorgesehen.

Customer Mapping

Kunde/Standort customer_id Subnetze
Artis artis 10.27.0.0/24, 192.168.115.200/32
Salzmannschule salzmannschule 10.64.0.0/22
Sportgymnasium Jena sportgym_jena 10.128.0.0/24, 10.128.8.0/24, 10.128.16.0/24
Sportgymnasium Oberhof sportgym_oberhof 192.168.30.0/24, 192.168.200.0/24
Speed Clever Leben speed_clever 192.168.222.0/24
Lanstyle lanstyle 10.0.0.0/20

Mapping-Datei im LXC:

  • /srv/graylog-data/config-seeds/customer-subnet-map.csv

Graylog-Struktur

Pipeline:

  • syslog customer and class enrichment
  • Message-Processor-Reihenfolge: Message Filter Chain -> Stream Rule Processor -> Pipeline Processor

Feldlogik:

  • gl2_remote_ip setzt customer_id
  • UniFi-/UDM-Gateways werden in Graylog anhand der SiteMagic-/VPN-Transportadresse in gl2_remote_ip gemappt. Diese 192.168.6.x/32-Adressen sind nicht die fachlichen Kunden-LAN-Gateways:
  • Artis: SiteMagic 192.168.6.0/32 -> customer_id=artis, site_id=artis_udm; fachliches Gateway 10.27.0.1
  • Salzmannschule: SiteMagic 192.168.6.15/32 -> customer_id=salzmannschule, site_id=sms_udm; fachliches Gateway 10.64.0.1
  • Speed: SiteMagic 192.168.6.19/32 -> customer_id=speed_clever, site_id=speed_clever_udm; fachliches Gateway 192.168.222.1
  • Sportgymnasium Oberhof: SiteMagic 192.168.6.21/32 -> customer_id=sportgym_oberhof, site_id=sportgym_oberhof_udm; fachliches Gateway 192.168.50.1
  • Sportgymnasium Jena: SiteMagic 192.168.6.23/32 -> customer_id=sportgym_jena, site_id=sportgym_jena_udm; fachliches Gateway 10.128.0.1
  • weitere SiteMagic-Eintraege aus Screenshot: 192.168.6.17/32 Lindenstr 2 - Stein_Dr... und 192.168.6.25/32 Dream Router 5G Max; Kundenzuordnung noch pruefen
  • Zusatzfelder: vendor=ubiquiti, device_family=unifi_gateway, source_ip=<sitemagic-ip>, gateway_name=<controller-name>
  • bekannte Hypervisoren setzen log_class=server
  • Auth-/Login-/Config-/SSH-/Denied-Keywords setzen log_class=security
  • sonstige bekannte Quellen bleiben log_class=network
  • unbekannte Quellen bleiben customer_id=unmapped
  • Aruba-Instant-Events aus WLAN-Management-Netzen werden normalisiert:
  • SMS 10.64.2.0/24 -> site_id=sms_aruba_wlan
  • Jena 10.128.16.0/24 -> site_id=sportgym_jena_aruba_wlan
  • Oberhof 192.168.30.0/24 -> site_id=sportgym_oberhof_aruba_wlan
  • Felder: vendor=aruba, device_family=aruba_instant, source_ip=<gl2_remote_ip>, source=<gl2_remote_ip>

Index-Sets und Streams:

  • je Kunde: Security, Network, Server
  • Security und Server: 180 Tage Ziel-Retention
  • Network: 90 Tage Ziel-Retention
  • Routing erfolgt per Pipeline route_to_stream(..., remove_from_default: true)

Dashboards

Angelegt in Graylog:

Dashboard Zweck
Syslog - Gesamtuebersicht 24h-Ueberblick nach Kunde, Quelle, Logklasse und Stream
Syslog - Security Events Security-, Auth-, Admin- und Config-Events
Syslog - Network und WLAN Netzwerk-, UniFi-, Aruba-, Switch- und WLAN-Events
Syslog - Server und Hypervisor Server-, Proxmox-, ESXi- und VM-nahe Events
Syslog - Unmapped und Noise unbekannte Quellen, Mapping-Luecken und Low-Value-Logs

Alle Dashboards nutzen relative 24h-Timeranges und die Pipeline-Felder customer_id, log_class, source, gl2_remote_ip, site_id, streams und level.

Onboarding-Stand

System Status
Lanstyle UniFi rsyslogd per API auf 10.222.60.20:1514 gesetzt; echte Network-Events bestaetigt
SMS UniFi rsyslogd per API auf 10.222.60.20:1514 gesetzt; echte Switch-Events bestaetigt
Speed UniFi rsyslogd per API auf 10.222.60.20:1514 gesetzt; Gateway manuell auf Remote Logging umgestellt, echte UniFi-Events noch separat validieren
Artis UniFi rsyslogd per API auf 10.222.60.20:1514 gesetzt; echte Switch/AP-Events bestaetigt
Jena UniFi rsyslogd per API auf 10.222.60.20:1514 gesetzt; Gateway manuell auf Remote Logging umgestellt, Eventeingang im 1h-Fenster noch nicht gesehen
SMS Proxmox .11, .12, .13 rsyslog installiert/aktiviert, direkte TCP-Testevents in Graylog bestaetigt
Speed ESXi 192.168.222.4 Syslog auf tcp://10.222.60.20:1514 gesetzt, ESXi-Firewall-Ruleset syslog aktiviert, Testevent in Graylog bestaetigt
Lanstyle Radius/RadSec 10.222.40.36 VM 601 sgo-radius sendet FreeRADIUS/RadSec per rsyslog TCP 1514; FreeRADIUS-Dateilog /var/log/freeradius/radius.log wird per imfile gespiegelt; Auth-Logging ist aktiv, Passwortlogging deaktiviert; Live-Mitschnitt bis Graylog-LXC bestaetigt
SMS Aruba Instant Controller 10.64.2.65 syslog-server 10.222.60.20 gesetzt; UDP-514-Pakete und Graylog-Events bestaetigt; Timestamp-Override auf Empfangszeit korrigiert; 57.854 Events/24h aus 10.64.2.0/24 normalisiert
Jena Aruba Instant Controller 10.128.16.204 per Aruba Instant Web-API gesetzt; UDP-514-Pakete und Graylog-Events im absoluten Zeitfenster bestaetigt; Controller-Zeit erzeugte Future-Timestamps vor Input-Korrektur
Oberhof Aruba Instant Controller 192.168.30.32 per Aruba Instant Web-API gesetzt; Events in Graylog bestaetigt und vollstaendig normalisiert

Validierung

Bestaetigt:

  • Graylog GUI/API: http://10.222.60.20:9000
  • UniFi Local DNS: graylog.ad.lanstyle.de -> 10.222.60.20
  • Startseite: Graylog-Link auf http://graylog.ad.lanstyle.de:9000
  • Inputs: TCP/UDP 1514, UDP 514 fuer Aruba
  • Pipeline-Felder und Stream-Routing funktionieren
  • geroutete Testevents werden nicht mehr im Default Stream dupliziert
  • SMS-Proxmox direkte TCP-Testevents von .11, .12, .13 landen im Stream Salzmannschule Server
  • fuenf Syslog-Dashboards angelegt; je Dashboard fuenf Widgets; Search-Ausfuehrung per API ohne Fehler bestaetigt
  • Speed ESXi 192.168.222.4 sendet Events als customer_id=speed_clever, log_class=server; manuelles Testevent bestaetigt
  • Lanstyle Radius/RadSec 10.222.40.36: freeradius, radsecproxy und FreeRADIUS-Datei-Mirror senden per TCP 1514; tcpdump auf tap601i0 zeigte Payloads und ACK von 10.222.60.20
  • FreeRADIUS-Auth-Logging: auth = yes, auth_badpass = no, auth_goodpass = no. Damit werden Login OK, Login incorrect und Invalid user nach Graylog gespiegelt, aber keine Passwoerter.
  • Radius/RadSec Noise-Filter: /etc/rsyslog.d/90-graylog-radius-radsec.conf filtert erwartbare RadSec-Idle-/Reconnect-Meldungen (incoming TLS connection, erfolgreiche TLS connection ... up, tlsserverrd ... no requests) vor dem Graylog-Forwarding. Lokales Journal bleibt vollstaendig; echte Fehler/Warnungen werden weitergeleitet.
  • UniFi-Controller/Gateway-Eventeingang: nach manueller Umstellung der UniFi Gateways von internem Speicher auf Remote Logging sind echte Network-Events fuer Lanstyle, SMS und Artis bestaetigt
  • Jena/Speed UniFi: Remote Logging laut manueller Gateway-Umstellung aktiv, aber im letzten 1h-Check noch keine eindeutig zugeordneten UniFi-Events bestaetigt; Speed ESXi sendet parallel sehr viele Events
  • Artis-Routing: lokaler Codex-Client erreicht 10.27.0.1:443, Proxmox 10.0.0.220 und Graylog-LXC erreichen 10.27.0.1 weiterhin nicht
  • Jena Aruba Instant mDNS/AirGroup: aktueller Syslog-Problem-Scan zeigte wiederholte mDNS-Proxy-Fehler auf mehreren APs, Schwerpunkt 10.128.16.204 Master of Desaster. Betroffene Records sind HP LaserJet M402dn (5E36C0) fuer _http._tcp.local und _ipps._tcp.local; Fehlerbilder mdns_build_pkt_rec_list:74 mit zu grossem Antwortpaket und mdns_swarm_bulk_sync.c bei AP-Swarm-Sync. Controller-Konfig hat airgroup enable sowie airgroupservice airplay/airprint enable. Ein TCP-Portscan auf 10.128.0.0/24, 10.128.8.0/24, 10.128.16.0/24 fand keinen offensichtlichen Drucker auf 515/631/9100; der Ausloeser wird aktuell nur ueber Bonjour/mDNS sichtbar. Empfehlung: Drucker/Bonjour-Record bereinigen oder AirPrint/AirGroup-Scope fuer Jena pruefen; keine automatische Aenderung erfolgt.
  • Artis-Zusatzquelle 192.168.115.200: neue Events werden als customer_id=artis und log_class=network/security einsortiert
  • Data Node Heap Warning behoben: opensearch_heap = 12g, Runtime -Xms12g -Xmx12g, Data Node/Graylog/MongoDB aktiv
  • MongoDB Slow-Query-Profiling fuer DB graylog aktiviert: Profiling-Level 1, slowms=100
  • Aruba Instant Controller SMS 10.64.2.65: Running Config enthaelt syslog-server 10.222.60.20; Live-Mitschnitt zeigte UDP 514 am LXC; Graylog indexiert SMS-Events seit allow_override_date=false im relativen Zeitfenster
  • Aruba Instant Controller Jena 10.128.16.204: Live-Mitschnitt zeigte UDP 514 am LXC; Events wurden im absoluten Zeitfenster gefunden und korrekt customer_id=sportgym_jena zugeordnet, lagen vor der Input-Korrektur aber als Future-Timestamps
  • Aruba-Instant-Normalisierung: frische Oberhof-Events validiert; source ist nicht mehr 2026, sondern die AP-IP; site_id=sportgym_oberhof_aruba_wlan, vendor=aruba, device_family=aruba_instant
  • Aruba-Instant-SMS: Empfang und Normalisierung bestaetigt; frische 10.64.2.x-Events setzen customer_id=salzmannschule, site_id=sms_aruba_wlan, vendor=aruba, device_family=aruba_instant
  • SMS Aruba Instant Controller 10.64.2.65: NTP per Aruba-Instant-Web-API von leer auf ptbtime1.ptb.de gesetzt; Readback bestaetigt, Syslog blieb 10.222.60.20
  • Aruba UDP-514 Input: Static Fields vendor=aruba und device_family=aruba_instant gesetzt; bei Live-SMS-Events noch nicht sichtbar, Input-State zeigt die Felder aber in der Konfiguration
  • Pipeline-Simulator: eine SMS-Beispielnachricht von 10.64.2.65 wird korrekt zu source=10.64.2.65, source_ip=10.64.2.65, site_id=sms_aruba_wlan, vendor=aruba, device_family=aruba_instant normalisiert; Live-Events bleiben aber weiter bei source=2026 und im Default Stream
  • Pipeline-Struktur wurde nach Simulator-Test stage-separiert; ein UDP-514-Ausschluss-Test in generischen Schulregeln wurde wegen Oberhof-Regression wieder zurueckgerollt
  • Pipeline-Fix: Regel 30 class network pass-through hinzugefuegt, damit log_class=network die Routing-Stage erreicht. Oberhof Network-Events werden danach korrekt in Sportgymnasium-Oberhof Network geroutet
  • UniFi-/UDM-Gateway-Pipeline-Rework: Gateway-Regeln laufen in Stage 0, die Default-Regel 00 default syslog unmapped network laeuft am Ende nur noch, wenn customer_id fehlt. Validierung nach Restart ueber gl2_processing_timestamp: Speed SiteMagic 192.168.6.19, Jena 192.168.6.23, Artis 192.168.6.0 und Lanstyle/SiteMagic-Quelle wurden frisch korrekt gemappt. Fuer Oberhof 192.168.6.21 und SMS 192.168.6.15 lagen im validierten Nach-Restart-Fenster noch keine frisch verarbeiteten Gateway-Events vor. Aeltere unmapped-Events koennen wegen Syslog-Zeitstempelversatz weiter in relativen Zeitfenstern erscheinen.

Schulen Switch-/NetBox-Audit 2026-06-07

Audit-Quelle: /Users/vinc32/Documents/Syslog/backups/school-switch-netbox-audit-20260607_014336

NetBox-Abgleich:

  • NetBox-Schul-Switches gesamt: 93
  • Switches mit Management-IP: 63
  • je Standort: SMS 41, SGJ 30, SGO 22
  • mit Management-IP je Standort: SMS 28, SGJ 13, SGO 22
  • sicher per UniFi API gefundene Switches, die in NetBox fehlen: 0
  • unklare Management-Hosts ohne NetBox-Eintrag, nicht als Switch bestaetigt: 7

Sicher bestaetigte UniFi-Switches aus API und in NetBox vorhanden:

  • SMS 10.64.1.3 Flex Switch Mueller -> SMS-H3-SW-MUELLER
  • SMS 10.64.1.4 Flex Switch Halle -> SMS-H3-SW-HALLE
  • SGJ 10.128.0.36 USW Pro Max 16 PoE -> SGJ-DV6-SW-01

Aruba-Switch-Syslog:

  • Portcheck auf 63 NetBox-Switch-IP-Adressen: 49 mit offenem Management-Port, 46 mit offenem SSH.
  • Aruba-SSH/Syslog-Readback vor Aenderung: kein gepruefter Switch hatte logging 10.222.60.20 sichtbar.
  • Running-Config-Backups vor Aenderung: 16 sauber gesichert.
  • Syslog auf Aruba-Switches gesetzt und per Readback bestaetigt: 11.
  • Offene Aruba-Switches ohne bestaetigte Syslog-Konfiguration: siehe aruba-switches-not-configured-syslog.csv.
  • SMS-Nachzug 2026-06-07: Ursache fuer fehlende Switch-Logs war fehlendes Routing in vrf default; Syslog muss auf SMS-Aruba-CX ueber logging 10.222.60.20 vrf mgmt laufen. Nach Umstellung senden 25/26 SMS-Aruba-Switches in Graylog. Retry am 2026-06-07 bestaetigte auf 10.64.0.139 SMS-DV-D04-01-R309 im Readback logging 10.222.60.20; kein weiterer Write noetig.
  • Jena-Retry 2026-06-07: 10.128.8.11 SGJ-DV1-SW-01 und 10.128.8.132 SGJ-DV3-WIFI-01 wurden auf logging 10.222.60.20 gesetzt und per Readback bestaetigt. 10.128.8.10, 10.128.8.14, 10.128.8.17 liefen aus Codex-Sicht in SSH/Banner-Timeouts; 10.128.8.112 bleibt gefiltert.
  • Oberhof-Retry 2026-06-07: vom Codex-Client liefen die vom Benutzer als erreichbar genannten Switches 192.168.200.11, .31, .41, .71, .73, .111, .121, .131, .151, .161, .181 in SSH-Timeouts; vermutlich Source-/Pfad-/Rate-Limit-Thema, da manueller Zugriff moeglich ist. Benutzer meldete anschliessend die manuelle Syslog-Konfiguration. Live-Mitschnitte am Graylog-Host bestaetigten UDP-514-Syslog von 192.168.200.31, .41, .73 und .161; die uebrigen benoetigen weitere Event-Trigger oder laengere Beobachtung.

SMS Aruba NTP-Nachzug 2026-06-07:

  • Ziel: ptbtime1.ptb.de, Fallback-IP 192.53.103.108.
  • InstantAP-Controller 10.64.2.65: vorher leer, danach ptbtime1.ptb.de bestaetigt.
  • Aruba-CX-Switches: NTP benoetigt wie Syslog die Management-VRF. Zielkonfiguration: ntp server ptbtime1.ptb.de minpoll 4 maxpoll 4 iburst, ntp enable, ntp vrf mgmt.
  • Bestaetigt per Readback: 10 Switches.
  • Configure-Output zeigt Zielkonfiguration, Readback offen: 3 Switches.
  • Nicht bestaetigt trotz Versuch: 3 Switches.
  • SSH im Portcheck/bei Login nicht offen oder nicht nutzbar: 10 Switches.
  • Details: sms-aruba-switch-ntp-final-status.csv.

NetBox-Korrekturhinweise SMS:

  • SMS hat im Switch-Audit 41 NetBox-Switchobjekte, davon 13 ohne Management-IP.
  • Diese fehlenden Management-IPs verhindern automatisierte NTP-/Syslog-Pruefungen und sollten in NetBox als primary_ip nachgepflegt werden.
  • Vorbereitete Korrekturliste: sms-netbox-corrections-prepared.csv.

Wichtige Reports:

  • missing-secure-switches.csv - sichere Switch-Funde, die in NetBox fehlen; aktuell leer.
  • uncertain-mgmt-hosts-missing-netbox.csv - Management-Hosts ohne NetBox-Eintrag, nicht als Switch bestaetigt.
  • netbox-switch-portcheck.csv - Erreichbarkeit der NetBox-Switch-IP-Adressen.
  • aruba-running-config-before-syslog/ - Vorher-Backups der konfigurierten Aruba-Switches.
  • aruba-syslog-change-results.csv - Aenderungs-/Readback-Ergebnis.
  • aruba-switches-not-configured-syslog.csv - offene Nacharbeitsliste.

Suchbeispiele in Graylog:

customer_id:salzmannschule
customer_id:artis
customer_id:speed_clever
log_class:server
gl2_remote_ip:10.64.1.11

Backups

Wichtige Sicherungen:

  • Proxmox: /root/backups/graylog-setup-20260606_230156
  • LXC-Konfigs: /root/backups/pre-graylog-config-20260606_230500
  • Graylog API Export: /srv/graylog-data/backups/graylog-api-before-structure-20260606_212731
  • Lanstyle/SMS/Artis UniFi Lauf: /root/backups/unifi-graylog-syslog-20260607_002816
  • Speed UniFi Lauf: /root/backups/unifi-graylog-syslog-speed-20260607_002949
  • Artis/Jena UniFi Lauf: /root/backups/unifi-graylog-syslog-artis-jena-20260607_003812
  • Artis lokaler API-Lauf: /Users/vinc32/Documents/Syslog/backups/artis-unifi-graylog-syslog-20260607_004210
  • Graylog DNS UniFi Local DNS: /Users/vinc32/Documents/Syslog/backups/udm-local-dns-graylog-20260607_005110
  • Startseite vor Graylog-Link: /root/codex-backups/start-page-graylog-20260606_225204
  • Dashboards vor Anlage: /Users/vinc32/Documents/Syslog/backups/graylog-dashboards-before-20260607_005756
  • Dashboard-Anlage und Validierung: /Users/vinc32/Documents/Syslog/backups/graylog-dashboards-create-20260607_010131
  • Graylog naechste 2 Punkte Check: /Users/vinc32/Documents/Syslog/backups/graylog-next2-check-20260607_010316
  • Speed ESXi Syslog Backup/Readback: /Users/vinc32/Documents/Syslog/backups/speed-esxi-syslog-20260607_010443
  • UniFi nach manueller Gateway-Aktivierung: /Users/vinc32/Documents/Syslog/backups/graylog-unifi-manual-activation-20260607_011516
  • Artis Mapping 192.168.115.200: /Users/vinc32/Documents/Syslog/backups/graylog-artis-192-168-115-200-20260607_011849
  • Data Node Heap Anpassung: /srv/graylog-data/backups/datanode-heap-20260606_232150
  • Data Node Heap API-Validierung: /Users/vinc32/Documents/Syslog/backups/graylog-datanode-heap-verify-20260607_012230
  • MongoDB Profiling Aktivierung: /Users/vinc32/Documents/Syslog/backups/mongodb-profiling-graylog-20260607_031704
  • Aruba SMS Controller Readback/Apply: /root/backups/aruba-10.64.2.65-20260607_012927
  • Graylog Aruba UDP-514 Input: /Users/vinc32/Documents/Syslog/backups/graylog-aruba-514-precheck-20260607_013129
  • Aruba Jena/Oberhof Versuch: /root/backups/aruba-syslog-batch-20260607_013840
  • Aruba AP Controller Jena/Oberhof Web-API Readback/Apply: /Users/vinc32/Documents/Syslog/backups/aruba-ap-controller-retry-20260607_020810
  • Schulen Switch-/NetBox-Audit und Aruba-Switch-Backups: /Users/vinc32/Documents/Syslog/backups/school-switch-netbox-audit-20260607_014336
  • Aruba-Instant-Pipeline-Normalisierung und Validierung: /Users/vinc32/Documents/Syslog/backups/graylog-aruba-normalization-20260607_022157
  • Aruba-AP Traffic-/Timestamp-Pruefung und UDP-514 Input-Korrektur: /Users/vinc32/Documents/Syslog/backups/aruba-ap-traffic-check-20260607_022913
  • Aruba-Pipeline Debug, exakte Stage-1-Regeln und UDP-514 Static Fields: /Users/vinc32/Documents/Syslog/backups/graylog-aruba-pipeline-debug-20260607_024107
  • SMS Aruba Switch/InstantAP Nachzug: /Users/vinc32/Documents/Syslog/backups/sms-aruba-nachziehen-20260607_070519
  • SMS Aruba NTP-Nachzug und NetBox-Korrekturliste: /Users/vinc32/Documents/Syslog/backups/sms-ntp-ptb-20260607_080845
  • Wiki-Backups SMS Aruba Nachzug: /Users/vinc32/Documents/GB10/.codex-backups/20260607_080515-sms-aruba-nachziehen
  • Wiki-Backups SMS NTP-Nachzug: /Users/vinc32/Documents/GB10/.codex-backups/20260607_083748-sms-ntp-ptb
  • Graylog Pipeline-Simulator-Discovery, Stage-Separation und Restore-Artefakte: /Users/vinc32/Documents/Syslog/backups/graylog-pipeline-simulator-discovery-20260607_025248
  • Graylog Message-Processor- und Pass-through-Debug: /Users/vinc32/Documents/Syslog/backups/graylog-messageprocessor-debug-20260607_030545
  • UniFi-/UDM-Gateway-Mapping und Pipeline-Rework: /Users/vinc32/Documents/Syslog/backups/graylog-unmapped-mapping-20260607_061519
  • MkDocs/Obsidian Update Gateway-Mapping: /Users/vinc32/Documents/GB10/.codex-backups/20260607_064736-graylog-gateway-mapping
  • Radius/RadSec Syslog-Konfiguration und Live-Mitschnitte: /Users/vinc32/Documents/Syslog/backups/radius-radsec-syslog-20260607_091514
  • Wiki-Backups Radius/RadSec Syslog: /Users/vinc32/Documents/GB10/.codex-backups/20260607_092248-radius-radsec-graylog-docs
  • Radius/RadSec Final-Doku 2026-06-08: /Users/vinc32/Documents/GB10/.codex-backups/20260608-163933-radius-final-docs
  • Gateway-SiteMagic-Korrektur und Switch-Retry: /Users/vinc32/Documents/Syslog/backups/correct-gateways-and-switch-retry-20260607_093812
  • Oberhof Switch Syslog Live-Mitschnitt: /Users/vinc32/Documents/Syslog/backups/oberhof-switch-graylog-check-20260607_100725
  • Oberhof Switch .73 Syslog Live-Mitschnitt: /Users/vinc32/Documents/Syslog/backups/oberhof-73-graylog-check-20260607_101025
  • Aruba Problem- und Jena-mDNS-Analyse: /Users/vinc32/Documents/Syslog/backups/aruba-problem-scan-20260607_102845
  • Vaultwarden Secret-Audit Graylog/UniFi/Aruba: /Users/vinc32/Documents/Syslog/backups/vaultwarden-syslog-secret-audit-20260607_104241
  • Wiki-Backups Gateway/Switch-Retry: /Users/vinc32/Documents/GB10/.codex-backups/20260607_094957-switch-retry-status

Besonderheiten

Der Proxmox Host laeuft mit Kernel 7.0.2-6-pve. MongoDB 8.0.23 startete damit nicht zuverlaessig. Aktueller Betriebsstand:

  • MongoDB auf 8.0.4 gepinnt
  • systemd Drop-in fuer MongoDB: GLIBC_TUNABLES=glibc.pthread.rseq=1
  • MongoDB lauscht nur lokal auf 127.0.0.1:27017
  • MongoDB Profiling: DB graylog, Level 1, slowms=100; sammelt nur Slow-Query-Diagnostik, kein Full Profiling
  • Graylog GUI/API lauscht auf 10.222.60.20:9000
  • Data Node/OpenSearch lauscht lokal auf 127.0.0.1
  • Data Node/OpenSearch Heap: opensearch_heap = 12g in /etc/graylog/datanode/datanode.conf

Offene Punkte

  • Eventeingang von Jena/Speed UniFi durch echte Controller-/Gateway-Events final validieren.
  • UniFi-/UDM-Gateway-Mapping fuer Oberhof SiteMagic 192.168.6.21/32 und SMS 192.168.6.15/32 erneut pruefen, sobald nach dem Pipeline-Rework frisch verarbeitete Gateway-Events mit gl2_processing_timestamp nach 2026-06-07 04:43:40 UTC vorliegen.
  • Artis-Routing vom Proxmox-Host zu 10.27.0.1 klaeren; lokaler Codex-Client erreicht Artis, Proxmox/Graylog-LXC nicht.
  • SMS Aruba NTP offen: Statusliste /Users/vinc32/Documents/Syslog/backups/sms-ntp-ptb-20260607_080845/sms-aruba-switch-ntp-final-status.csv abarbeiten; besonders NetBox-Switches ohne Management-IP und SSH/Login-Aussetzer nachziehen.
  • Aruba Instant Jena: Empfang ist bestaetigt; customer_id greift, aber Zusatzfelder vendor/device_family/site_id/source_ip fuer Jena live erneut pruefen.
  • Jena/Oberhof Aruba SSH ist nach CLI-Versuchen zeitweise gefiltert/timeout; Web-API funktioniert und Syslog-Readback ist bestaetigt.
  • Speed ESXi 192.168.222.4: erledigt, weitere Speed-VMs inventarisieren.
  • QNAP, Synology, Veeam und produktive VMs inventarisieren.
  • Proxmox-Hostlog-Forwarding fuer 10.0.0.220 per rsyslog/journald final validieren; direkte TCP/UDP-Testevents sind erfolgreich.