Eu tenho experimentado com honeypots de alta interação ultimamente. Infelizmente, se um adversário obtiver acesso à raiz, ele poderá facilmente limpar os arquivos de registro em um sistema, derrotando um dos propósitos de um honeypot de alta interação, que é observar o que um adversário faz.
Existe uma maneira de enviar entradas de registro conforme elas acontecem em tempo real para um local remoto? Linux e Windows são o foco aqui, então eu acho que é uma questão de duas partes; como isso pode ser feito no Linux e no Windows?
Sim, o registro pode ser feito em tempo real. Isso é praticamente "cozido" no protocolo syslog. O resumo é -
Permitir port 514 udp através do firewall
No syslog.conf no cliente, adicione:
*.* syslog.log.server.name
No servidor, adicione
ip.of.client
*.* /File/to/log.to
Consulte o link para obter mais informações.