> Gibt es dazu eine Anleitung oder hast Präferenzen zu Software die das kann, am besten open source oder freeware?Das hängt davon ab welchen Weg man gehen will. Bei Syslog würde ich ggf. zu Graylog tendieren, weil einfacher aufzusetzen als ein ganzer ELK Stack. Bei Netflows - puh, da muss man sich anschauen worauf das laufen soll und ob man was komplett Fertiges haben will oder sich selbst was zurecht baut. Wir haben da intern was mit nfsen/nfdump selbst konstruiert. Andere nutzen kostenlose (aber keine OSS) Software bspw. unter Windows von SolarWinds oder ManageEngine.
> Wenn der Traffic eh über ein interface extern zur Analyse zur Verfühgung gestellt wirdWird er nicht, das verstehst du falsch. Log Weiterleitung enthält lediglich Syslog Daten. Flow Collectoren arbeiten mit Netflows. Beides passiert erst, wenn es überhaupt eine Aktion auf der Firewall gab, also nachdem(!) ein potentielles IDS überhaupt was mitbekommen hat. IDS mach nachgestellt wenig Sinn bzw. nur zum Loggen vielleicht, aber dann bräuchte das System einen Mirror Port vom WAN um die Events korrekt abzubekommen. Ansonsten würde ein nachgestelltes System ja nur Daten abbekommen die bereits durch die FW gelaufen und/oder verändert wurden.