Sziasztok!
Az lenne a feladatom, hogy csak a hostokra torteno ki-be lepest logoljam az auditd-tol kapott adatok alapjan es ezeket syslog-ng-vel tovabbitsam egy masik hostra.
Az audit ezen kivul meg sok mas fajl modositasara/hasznalatara is figyelne csak a "logszerverre" tovabbitott logokat kellene szurni a ki/be lepesekre.
Az a gondom, hogy nem tudom hogyan lehet egyszeruen leszurni a syslog-ng kimenetet.
Az audit.conf-bol kiveve dolgokat sok informaciot elvesztek lokalisan, es ezt nem tudom egyszeruen szu:rni az adattovabbitashoz.
Minden megoldas erdekel :D
- 1033 megtekintés
Hozzászólások
Alapvetoen ossze kellene gyujtened, hogy neznek ki azok a logsorok, amik erdekelnek. Ha konnyen azonosithato reszek vannak benne, akkor valoszinuleg eleg nehany filter. Ha bonyolultabbak, vagy extra dolgokat szeretnel vele csinalni (pl. usernevet kiszedni belole), akkor a 3.0-s syslog-ng patterndb funkciojaval erdemes kiserletezni.
A filterekrol eleg sok minden le van irva a doksiban (http://www.balabit.com/support/documentation/?product=syslog-ng&type=al…;), a patterndb-rol meg csak beta doksi van, errol bovebben itt olvashatsz: http://robert.blogs.balabit.com/.
- A hozzászóláshoz be kell jelentkezni
Hogy mi menjen tovább arra meg ez:
#netadmin:
destination d_udp { udp("192.168.1.39"); };
log {
source(s_all);
filter(f_netadmin);
destination(d_udp);
};
(192.168.1.39 a központi log szerver)
A hozzá tartozó filter a példa kedvéért:
#netadmin
filter f_netadmin { not (facility(local0)
and program("^pdns_recursor")
and (match("question for")
or match("answer to question")));
};
- A hozzászóláshoz be kell jelentkezni