所以我正在制作一个研究蜜罐。主机是ubuntu 14.04。我想存储从蜜罐 ssh 到 ubuntu 主机的所有日志,这样数据就不会丢失。有人对这个有了解吗?
我研究了一下,谷歌主要说要修改 rsyslog.conf 文件,但我该怎么做呢?在哪台机器上?我是否要对蜜罐 rsyslog 或主机的 rsyslog 进行更改?
太感谢了
答案1
您可以在以下路径下找到rsyslog.conf:/etc/rsyslog.conf
你可以简单地用 vi 编辑它!目前我不确定你想用这些数据做什么!因此,如果您想将数据转发到另一台服务器,那么您必须编辑客户端和主机的配置! (你需要一个监听者和一个发送者)...
如果您需要更多帮助,那么我建议您加入 rsyslog 的邮件列表: http://lists.adiscon.net/mailman/listinfo/rsyslog
最好的问候,蒂姆·艾弗勒
答案2
在蜜罐上,您可以修改 rsyslog.conf 以将消息(所有消息或仅与模式匹配的消息)转发到主机。
主机需要运行 syslog 服务器(即:侦听器),例如 syslog-ng 或任何无数选项。
在主机的系统日志配置文件上,您还需要编写一个操作来获取来自蜜罐的所有传入消息(您可以按 IP 地址、主机名等进行过滤)并将它们写入单独的文件(可能在单独的驱动器上,因为它会快速增加)。