Как заставить honeyd сохранять логи в rsyslog
У меня есть стандартная установка honeyd из репозиториев Ubuntu.
Хонейд сохраняет журналы в двух файлах:
/var/log/honeyd/honeyd.log
/var/log/honeyd/daemon.log
[ 114] Я пытался настроить rsyslog для пересылки всех журналов из honeyd.log на удаленный сервер, и это оказалось невозможным.
Мой /etc/rsyslog.d/50-default.conf выглядит следующим образом:
$ ModLoad imfile
]
$ InputFileName / var / log / honeypot / honeyd.log
$ InputFileTag honeyd
$ InputFileStateFile stat-honeyd
$ InputFileSeverity отладка
$ InputFileFacility local7
$ InputFilePollInterval 1
$ InputFilePersistStateInterval 1
$ InputRunFileMonitor
local7. * @@ remoteserver: 514
*. * @Remoteserver
На своем удаленном сервере я создал /var/rsyslog.d/honeyd.conf следующим образом:
, если $ programname содержит «honeyd» затем /var/log/honeyd.log
& amp; ~
С помощью этой настройки я получаю все журналы демонов для honeyd на удаленном сервере (стартовый останов honeyd) и пакеты ответов arp для первого соединения с honeypot honeyd. Однако журналы из honeyd.log не пересылаются.
Я пытался использовать UDP / TCP, чтобы убедиться, что syslog имеет доступ к honeyd.log, добавив пользователя syslog в группу honeyd, но я просто не могу заставить его работать.
TCPdump подтверждает, что журналы из honeyd.log не отправляются.
Записи в honeyd.log выглядят так:2013-07-10-16: 31: 07.5939 icmp (1) - destip sourceip: 8 (0): 84
2013- 07-10-16: 31: 08.5951 icmp (1) - sourceip destip: 8 (0): 84Кто-нибудь знает, что мне не хватает? Спасибо за любую помощь заранее.
1 ответ
Я думаю, что ваша проблема здесь:
local7.* @@remoteserver:514
*.* @remoteserver
Вы отправляете что-нибудь с тегом local7 helper через TCP, используя @@ обозначение. Ниже вы отправляете ВСЕ данные через UDP. Я полагаю, что если вы закомментируете первую команду, все будет в порядке, поскольку все остальное, по-видимому, может быть найдено через UDP.