Gibt es eine Möglichkeit, Protokolle in Echtzeit an einen Remote-Host zu senden?

Ich habe in letzter Zeit mit Honeypots mit hoher Interaktion experimentiert. Wenn ein Gegner Root-Zugriff erhält, kann er die Logfiles auf einem System leicht löschen, was einen der Gründe für einen Honeypot mit hoher Interaktion darstellt, nämlich zu beobachten, was ein Gegner tut.

Gibt es eine Möglichkeit, Protokolleinträge in Echtzeit an einen Remotestandort zu senden? Linux und Windows stehen hier im Mittelpunkt. Ich denke, es handelt sich um eine zweiteilige Frage. Wie kann dies sowohl unter Linux als auch unter Windows durchgeführt werden?

linux windows logging Steve Mucci
quelle

Unter Linux natürlich mit rsyslog. Stellen Sie sicher, dass Sie dies aus der Perspektive der 'Reliable Logging Infrastructure' betrachten, da Ihr Anwendungsfall auf dem höchstmöglichen Maß an Zuverlässigkeit beruht.

Frank Thomas

Logstash kann auch Teil eines Log-Servers sein.

cybernard

Antworten:

Ja, die Protokollierung kann in Echtzeit erfolgen. Dies ist so ziemlich in das Syslog-Protokoll „eingebettet“. Die Zusammenfassung ist -

Erlaube Port 514 udp durch die Firewall

In syslog.conf auf dem Client hinzufügen:

*.* syslog.log.server.name

Auf dem Server hinzufügen

ip.of.client
    *.* /File/to/log.to

Sehen https://docs.freebsd.org/doc/7.3-RELEASE/usr/share/doc/handbook/network-syslogd.html Für mehr Information.

davidgo
quelle