我最近一直在试验高交互蜜罐。不幸的是,如果对手获得 root 访问权限,他们可以轻松清除系统上的日志文件,从而破坏高交互蜜罐的目的之一,即观察对手的行为。
有没有办法将实时发生的日志条目发送到远程位置?Linux 和 Windows 是这里的重点,所以我想这是一个由两部分组成的问题;如何在 Linux 和 Windows 上做到这一点?
答案1
是的,可以实时记录。这几乎是“内置”在 syslog 协议中的。摘要如下 -
允许端口 514 udp 通过防火墙
在客户端的 syslog.conf 中添加:
*.* syslog.log.server.name
在服务器添加
ip.of.client
*.* /File/to/log.to
看https://docs.freebsd.org/doc/7.3-RELEASE/usr/share/doc/handbook/network-syslogd.html了解更多信息。