kicatolt tartalom loggolása syslog-ng -vel

Debian GNU/Linux

SYSLOG-NG:

source local {
unix-stream("/dev/log" max_connections(150));
udp(ip(127.0.0.1) port(514));
internal();
};

source nepenthes {
file("/var/log/nepenthes.log" follow_freq(1) flags(no-parse));
};

filter notdebug { level(info...emerg); };
filter hex { match("Hex"); };

destination loghost { tcp("log.xen.hu" port(5140)); };

log { source(local); filter(notdebug); destination(loghost); };
log { source(nepenthes); filter(hex); destination(loghost); }

LOG:

[18032009 20:37:33 spam] Stored Hexdump /var/lib/nepenthes/hexdumps/b43caf40e591fe45eb94de6a152d0622.bin (0x080a2570 , 0x00000008).
[18032009 20:37:33 spam] Stored Hexdump /var/lib/nepenthes/hexdumps/bbd503a0a0f6f5e1fe251782645de659.bin (0x080a2570 , 0x00000005).
[18032009 20:37:35 spam] Stored Hexdump /var/lib/nepenthes/hexdumps/74f4954de419719d0a723fd0f8ae842f.bin (0x080a2570 , 0x00000016).
[18032009 20:38:21 warn module] Unknown exploit 0 bytes
[18032009 20:38:21 module] Ignoring zero-length hexdump.
[18032009 21:21:03 info sc module] Loading signatures from file /etc/nepenthes/signatures/shellcode-signatures.sc
[18032009 21:21:03 info mgr] Changed logfile /var/log/nepenthes.log owner to 101:0 (nepenthes:root)
[18032009 21:21:03 crit mgr] Compiled without support for capabilities, no way to run capabilities

A lényeg, hogy a syslog-ng megnézi a logfájlban, hogy van -e olyan sor, ami a hex stringre illeszkedik és ha van, akkor kiloggolja egy központi logszerverre. Én azonban azt szeretném loggolni, ami ezeknek a .bin fájloknak a tartalma, egy sima cat filename is jól mutatja. Van a syslog-ng -nek ilyen funkciója? esetleg meglehet hívni egy scriptet benne? Nézegettem de nem találtam ilyesmit, pedig biztos megoldható...

  • 965 megtekintés

( eldar | 2009. 03. 19., cs – 09:44 )

A 3.0-s syslog-ng-ben elvileg van program source, szerintem azzal meg tudod csinalni. Egy scripttel figyeled a filet, es amit szeretnel a binbol, azt kiiratod vele az stdout-ra, ahonnan a syslog-ng felnyalja.

( uid_1062 | 2009. 03. 19., cs – 10:10 )

script loggerrel?

Fel tudod cibalni pl 5 percenkent ezeket a bineket, vagy amikor megjelennek a logban.
logger bekuldi a syslog-ng-nek, akar cimkezve is. Aztan a syslog-ng belul meg el lehet jatszani vele, hogy ezeket is elkapja a filter ami a tobbit zajt forwardolja.