Есть ли способ отправить логи на удаленный хост в режиме реального времени?

1

В последнее время я экспериментировал с приманками с высоким уровнем взаимодействия. К сожалению, если злоумышленник получает root-доступ, он может легко стереть лог-файлы в системе, победив одну из целей приманки с высоким уровнем взаимодействия, которая заключается в наблюдении за действиями злоумышленника.

Есть ли способ отправить записи журнала в реальном времени в удаленное место? Linux и Windows находятся в центре внимания, поэтому я думаю, что это вопрос из двух частей; Как это можно сделать на Linux и Windows?

linux windows logging Стив Муччи
источник
В linux, конечно, используя rsyslogd. Обязательно изучите его с точки зрения «Надежной инфраструктуры ведения журналов», поскольку ваш сценарий использования основан на максимально возможном уровне надежности.
Фрэнк Томас
также logstash может быть частью сервера журналов.
кибернард

Ответы:

0

Да, регистрация может быть сделана в режиме реального времени. Это в значительной степени «встроено» в протокол системного журнала. Резюме это -

Разрешить порт 514 UDP через брандмауэр

В syslog.conf на клиенте добавьте:

*.* syslog.log.server.name

На сервер добавить

ip.of.client
    *.* /File/to/log.to

См. Https://docs.freebsd.org/doc/7.3-RELEASE/usr/share/doc/handbook/network-syslogd.html для получения дополнительной информации.

davidgo
источник