Existe uma maneira de enviar logs para um host remoto em tempo real?

1

Eu tenho experimentado com honeypots de alta interação ultimamente. Infelizmente, se um adversário obtiver acesso à raiz, ele poderá facilmente limpar os arquivos de registro em um sistema, derrotando um dos propósitos de um honeypot de alta interação, que é observar o que um adversário faz.

Existe uma maneira de enviar entradas de registro conforme elas acontecem em tempo real para um local remoto? Linux e Windows são o foco aqui, então eu acho que é uma questão de duas partes; como isso pode ser feito no Linux e no Windows?

    
por Steve Mucci 13.10.2017 / 19:45

1 resposta

0

Sim, o registro pode ser feito em tempo real. Isso é praticamente "cozido" no protocolo syslog. O resumo é -

Permitir port 514 udp através do firewall

No syslog.conf no cliente, adicione:

*.* syslog.log.server.name

No servidor, adicione

ip.of.client
    *.* /File/to/log.to

Consulte o link para obter mais informações.

    
por 14.10.2017 / 02:28