그래서 연구용 허니팟을 만들고 있어요. 호스트는 우분투 14.04입니다. 데이터가 손실되지 않도록 허니팟 SSH의 모든 로그를 우분투 호스트에 저장하고 싶습니다. 이것에 대해 아는 사람 있나요?
검색해봤는데 구글이 주로 rsyslog.conf 파일을 수정하라고 했는데 어떻게 해야 하나요? 어느 기계에서? 허니팟 rsyslog 또는 호스트의 rsyslog를 변경하고 싶나요?
매우 감사합니다
답변1
다음 경로에서 rsyslog.conf를 찾을 수 있습니다: /etc/rsyslog.conf
vi로 간단하게 편집할 수 있습니다! 지금은 이 데이터로 무엇을 하려는지 잘 모르겠습니다! 따라서 데이터를 다른 서버로 전달하려면 클라이언트와 호스트 모두의 구성을 편집해야 합니다! (청취자와 발신자가 필요합니다)...
도움이 더 필요하다면 rsyslog 메일링 리스트에 가입하는 것이 좋습니다. http://lists.adiscon.net/mailman/listinfo/rsyslog
감사합니다, 팀 이플러
답변2
허니팟에서는 rsyslog.conf를 수정하여 메시지(모든 메시지 또는 패턴과 일치하는 메시지만)를 호스트에 전달할 수 있습니다.
호스트는 syslog-ng 또는 다양한 옵션과 같은 syslog 서버(예: 리스너)를 실행해야 합니다.
호스트의 syslog 구성 파일에서는 허니팟(IP 주소, 호스트 이름 등으로 필터링할 수 있음)에서 들어오는 모든 메시지를 가져오고 이를 별도의 파일(아마도 별도의 파일에 기록하는 작업)을 작성해야 합니다. 빠르게 증가함에 따라 운전하십시오).