Wer 25 Portfreigaben in seiner FRITZ!Box verwalten will oder muß, der hat dann aber schon ein sehr ausuferndes LAN und irgendwie hätte ich sogar meine Probleme mit der notwendigen Phantasie, um auf 25 (übliche) Services zu kommen, die ihrerseits (nicht zusammenhängende) Portfreigaben brauchen.
Ein "ausgewachsener" Internet-Server mit DNS, SSH, TS3, IPSec, OpenVPN, IMAP/SMTP, Asterisk, HTTP(S), FTP, NTP, und zwei Minecraft-Instanzen bringt es bei mir gerade mal auf 17 freizugebende Ports (inkl. Ranges) - wer daheim im "Hobby-LAN" noch mehr Dienste ins Internet freigeben will oder muß, ist mit einer FRITZ!Box nach meiner Meinung ohnehin falsch aufgestellt - einfach weil es damit auch viel zuviele Angriffsflächen ins LAN gäbe, denn eine FRITZ!Box hat bekanntlich keine (richtige) DMZ zu bieten.
Auch das Unterdrücken doppelter Nachrichten hat AVM nach meiner Ansicht inzwischen - im Rahmen der Möglichkeiten - ganz gut gelöst ... früher konnte man ja tatsächlich mit ausreichend generierten Fehlermeldungen im Log die wirklich relevanten Meldungen "herausschieben". Das geht zwar heute auch noch, braucht aber zumindest zwei sich abwechselnde Fehlermeldungen. Da beim AVM-Eventlog auch keine Texte (nur für die Variablen) intern gespeichert werden, ist das schon ziemlich effizient und man kann mit 100 Meldungen zu Portfreigaben eher nicht dafür sorgen, daß relevante Nachrichten unterdrückt werden.
Das ist bei WLAN-An-/Abmeldungen sicherlich schon wieder etwas anderes ... trotzdem bleibt die Box ein "Allround"-Gerät und da, wo es den einen gar nicht interessiert, wer sich im WLAN angemeldet hat und wie lange der angemeldet war (warum läßt er es dann überhaupt protokollieren), da ist das für andere wieder sehr wichtig in der Forensik, wer da zu einem bestimmten Zeitpunkt aktiv war.
Ich habe schon sehr lange keine "abgeschnittenen" Logs mehr gesehen ... da ich mir die täglich zusenden lasse, habe ich allerdings auch keine Ahnung, ob/wie AVM da für die Leute mit der "monatlich"-Einstellung die Nachrichten im Event-Log anders behandelt. Gehen da tatsächlich Nachrichten verloren beim "Überlauf" des Protokolls? Ich würde eigentlich erwarten, daß dann die bisherigen Nachrichten irgendwo intern gespeichert oder sogar als gesonderte E-Mail versendet werden ... der internen Speicherung im tmpfs sind ja deutliche Grenzen bei der Zuverlässigkeit gesetzt - die sind nach dem Neustart genauso weg, wie die aktuellen Nachrichten im Event-Log und zumindest beim (geplanten) Update hat AVM es ja inzwischen auch auf die Reihe gebracht, vor dem Update noch eine Info-Mail außer der Reihe zu senden, damit nicht beim Neustart die bisherigen Informationen verlorengehen.
Ansonsten schrieb ich ja auch, daß AVM da beim "mail builder" noch einiges getan hat im Laufe des letzten Laborzweigs, nachdem die (einzeln) gesendeten Nachrichten tatsächlich überhand nahmen und daß es sich früher nicht abschalten ließ, ist auch bekannt ... spielt aber für den aktuellen Stand nur eine untergeordnete Rolle. Außerdem würde ich ganz gerne zwischen E-Mails (die zumindest mal eine Idee sind, wenn man ansonsten keine - unabhängige - Methode der Speicherung wichtiger Nachrichten hat - auch wenn diese E-Mails insgesamt noch mehr als ein (Security-)Problem haben) und Nachrichten im Event-Log strikt unterscheiden ... die E-Mails sind "Zugabe", aber eine Protokollierung sicherheitsrelevanter Informationen (und dazu gehört das Einrichten von Portfreigaben für mich ohne jeden Zweifel) ist unumgänglich.
Ob man dazu bei AVM nun das Protokoll vergrößern könnte (die 40.000 Byte für den Ringpuffer sind auch dann nicht sehr viel, wenn da die Nachrichten ohne den Template-Text gespeichert werden - und angesichts heutiger Hauptspeicherausstattung der Boxen wäre selbst das Verzehnfachen der Kapazität problemlos möglich - man müßte allerdings die AVM-Funktionen für dieses Event-Log anpassen und das kann nur AVM selbst machen) oder ob man das getrennt voneinander speichern könnte (und sollte), steht wieder auf einem anderen Blatt.
Inzwischen schießt man zwar beim Protokollieren auch schon mal über das Ziel hinaus (z.B. beim Loggen wirklich jedes erfolglosen Zugriffs auf den FTP-Server als Benutzer "anonymous", auch bei SMB geschieht das wohl so), aber ich persönlich habe lieber eine Nachricht zuviel zu lesen als eine (wichtige) zu wenig - solange die wichtigen nicht tatsächlich im Rauschen der anderen untergehen, ist das m.E. kein Problem. Daher fände ich es viel wichtiger und sinnvoller, wenn AVM bei der eigenen Protokollierung endlich mal "severities" verwenden würde ("facilities" haben sie ja mehr oder weniger, wobei das an der Nachrichtennummer festgemacht wird, wozu so eine Meldung nun gehört) und man die Nachrichten dann danach filtern könnte oder AVM sie entsprechend einfärben würde. Das wäre dann auch eine Möglichkeit, in der (für mich unumgänglichen) Flut von Nachrichten (die man spätestens dann schätzen lernt, wenn man nach 14 Tagen irgendwelche zurückliegenden Vorkommnisse aufklären will) den Überblick zu bewahren.
Dazu könnte dann zweifellos auch eine Export-Möglichkeit für das Event-Log als XML-Datei beitragen (im GUI und per TR-064, bisher kriegt man per TR-064 auch nur die Textversionen ohne jede weitere sinnvolle Info, wie z.B. die Nachrichten-ID) ... dafür kann dann gerne auch die "Druckansicht" wegfallen, das macht ein XSLT-Skript dann auch noch besser und wer druckt sich schon das Event-Log seiner Box aus? Das macht nicht einmal dann so richtig Sinn, wenn man das nur im Falle von Merkwürdigkeiten benutzen will.
