SYSLOG-NG:
source local {
unix-stream("/dev/log" max_connections(150));
udp(ip(127.0.0.1) port(514));
internal();
};
source nepenthes {
file("/var/log/nepenthes.log" follow_freq(1) flags(no-parse));
};
filter notdebug { level(info...emerg); };
filter hex { match("Hex"); };
destination loghost { tcp("log.xen.hu" port(5140)); };
log { source(local); filter(notdebug); destination(loghost); };
log { source(nepenthes); filter(hex); destination(loghost); }
LOG:
[18032009 20:37:33 spam] Stored Hexdump /var/lib/nepenthes/hexdumps/b43caf40e591fe45eb94de6a152d0622.bin (0x080a2570 , 0x00000008).
[18032009 20:37:33 spam] Stored Hexdump /var/lib/nepenthes/hexdumps/bbd503a0a0f6f5e1fe251782645de659.bin (0x080a2570 , 0x00000005).
[18032009 20:37:35 spam] Stored Hexdump /var/lib/nepenthes/hexdumps/74f4954de419719d0a723fd0f8ae842f.bin (0x080a2570 , 0x00000016).
[18032009 20:38:21 warn module] Unknown exploit 0 bytes
[18032009 20:38:21 module] Ignoring zero-length hexdump.
[18032009 21:21:03 info sc module] Loading signatures from file /etc/nepenthes/signatures/shellcode-signatures.sc
[18032009 21:21:03 info mgr] Changed logfile /var/log/nepenthes.log owner to 101:0 (nepenthes:root)
[18032009 21:21:03 crit mgr] Compiled without support for capabilities, no way to run capabilities
A lényeg, hogy a syslog-ng megnézi a logfájlban, hogy van -e olyan sor, ami a hex stringre illeszkedik és ha van, akkor kiloggolja egy központi logszerverre. Én azonban azt szeretném loggolni, ami ezeknek a .bin fájloknak a tartalma, egy sima cat filename is jól mutatja. Van a syslog-ng -nek ilyen funkciója? esetleg meglehet hívni egy scriptet benne? Nézegettem de nem találtam ilyesmit, pedig biztos megoldható...
- 965 megtekintés
Hozzászólások
A 3.0-s syslog-ng-ben elvileg van program source, szerintem azzal meg tudod csinalni. Egy scripttel figyeled a filet, es amit szeretnel a binbol, azt kiiratod vele az stdout-ra, ahonnan a syslog-ng felnyalja.
- A hozzászóláshoz be kell jelentkezni
script loggerrel?
Fel tudod cibalni pl 5 percenkent ezeket a bineket, vagy amikor megjelennek a logban.
logger bekuldi a syslog-ng-nek, akar cimkezve is. Aztan a syslog-ng belul meg el lehet jatszani vele, hogy ezeket is elkapja a filter ami a tobbit zajt forwardolja.
- A hozzászóláshoz be kell jelentkezni
a loggerben erosen limitalt a message size.
https://lists.balabit.hu/pipermail/syslog-ng/2009-January/012354.html
itt van par otlet meg.
- A hozzászóláshoz be kell jelentkezni