我从 Ubuntu 存储库中安装了标准的 honeyd。Honeyd
将日志保存在两个文件中:
/var/log/honeyd/honeyd.log
/var/log/honeyd/daemon.log
我一直试图设置 rsyslog 以将所有日志从 honeyd.log 转发到远程服务器,但事实证明这是不可能的。
我的 /etc/rsyslog.d/50-default.conf 如下所示:
$ModLoad imfile
$InputFileName /var/log/honeypot/honeyd.log
$InputFileTag honeyd
$InputFileStateFile stat-honeyd
$InputFileSeverity debug
$InputFileFacility local7
$InputFilePollInterval 1
$InputFilePersistStateInterval 1
$InputRunFileMonitor
local7.* @@remoteserver:514
*.* @remoteserver
在我的远程服务器上,我创建了 /var/rsyslog.d/honeyd.conf,如下所示:
如果 $programname 包含 'honeyd' 那么 /var/log/honeyd.log
& ~
通过此设置,我获得了远程服务器上 honeyd 的所有守护进程日志(honeyd start stop)和 arp 答复包,用于首次与 honeyd 蜜罐通信。但是,honeyd.log 中的日志未被转发。
我尝试使用 UDP/TCP,通过将 syslog 用户添加到 honeyd 组来确保 syslog 可以访问 honeyd.log,但我无法让它工作。TCPdump
确认未发送 honeyd.log 中的日志。honeyd.log
条目如下所示:
2013-07-10-16:31:07.5939 icmp(1)-源IP目标:8(0):84
2013-07-10-16:31:08.5951 icmp(1)-源IP目标:8(0):84
有人知道我错过了什么吗?提前感谢你的帮助。
答案1
我认为你的问题在这里:
local7.* @@remoteserver:514
*.* @remoteserver
您正在使用 @@ 标记通过 TCP 发送任何带有 local7 帮助程序标记的内容。在其下方,您将通过 UDP 发送所有数据。我猜如果您注释掉第一个命令,那么一切就都好了,因为其他所有内容似乎都通过 UDP 到达那里。