1

В последнее время я экспериментировал с приманками с высоким уровнем взаимодействия. К сожалению, если злоумышленник получает root-доступ, он может легко стереть лог-файлы в системе, победив одну из целей приманки с высоким уровнем взаимодействия, которая заключается в наблюдении за действиями злоумышленника.

Есть ли способ отправить записи журнала в реальном времени в удаленное место? Linux и Windows находятся в центре внимания, поэтому я думаю, что это вопрос из двух частей; Как это можно сделать на Linux и Windows?

1 ответ1

0

Да, регистрация может быть сделана в режиме реального времени. Это в значительной степени «встроено» в протокол системного журнала. Резюме это -

Разрешить порт 514 UDP через брандмауэр

В syslog.conf на клиенте добавьте:

*.* syslog.log.server.name

На сервере добавить

ip.of.client
    *.* /File/to/log.to

См. Https://docs.freebsd.org/doc/7.3-RELEASE/usr/share/doc/handbook/network-syslogd.html для получения дополнительной информации.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .