Eu tenho uma instalação padrão do honeyd dos repositórios do Ubuntu.
Honeyd está salvando logs em dois arquivos:
/var/log/honeyd/honeyd.log
/var/log/honeyd/daemon.log
Eu tenho tentado configurar o rsyslog para encaminhar todos os logs do honeyd.log para um servidor remoto e está se provando impossível.
Meu /etc/rsyslog.d/50-default.conf tem esta aparência:
$ ModLoad imfile
$ InputFileName /var/log/honeypot/honeyd.log
$ InputFileTag honeyd
$ InputFileStateFile stat-honeyd
Depuração $ InputFileSeverity
$ InputFileFacility local7
$ InputFilePollInterval 1
$ InputFilePersistStateInterval 1
$ InputRunFileMonitor
local7. * @@ remoteserver: 514
*. * @remoteserver
No meu servidor remoto eu criei /var/rsyslog.d/honeyd.conf da seguinte forma:
se $ programname contiver 'honeyd', em seguida, /var/log/honeyd.log
& amp; ~
Com esta configuração eu recebo todos os logs do daemon para honeyd no servidor remoto (honeyd start stop) e arp reply packages para a primeira comunicação com honey honeypot. No entanto, os logs do honeyd.log não são encaminhados.
Eu tentei com UDP / TCP, certificando-se de que o syslog tenha acesso ao honeyd.log, adicionando o usuário do syslog ao grupo honeyd, mas eu simplesmente não consigo fazê-lo funcionar.
O TCPdump confirma que os logs do honeyd.log não estão sendo enviados.
As entradas do honeyd.log são assim:
2013-07-10-16: 31: 07.5939 icmp (1) - sourceip Desd: 8 (0): 84
2013-07-10-16: 31: 08.5951 icmp (1) - sourceip destip: 8 (0): 84
Alguém sabe o que eu sinto falta? Obrigado por qualquer ajuda antecipadamente.
Acho que seu problema está aqui:
local7.* @@remoteserver:514
*.* @remoteserver
Você está enviando qualquer coisa marcada com o helper local7 através do TCP usando a designação @@. Abaixo disso você está enviando TODOS os dados via UDP. Meu palpite seria que, se você comentasse o primeiro comando, você ficaria bem, já que tudo o mais parece estar chegando lá por meio do UDP.