elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  GNU/Linux (Moderador: MinusFour)
| | |-+  reenvío de log con logger		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: reenvío de log con logger  (Leído 1,599 veces)
young0320

Desconectado Desconectado

Mensajes: 60


Ver Perfil
reenvío de log con logger
« en: 11 Noviembre 2013, 16:14 pm »
Buenas,

Necesitaría si es posible que alguien me diese alguna idea para solucionar un problema con logger.

Dispongo de dos maquinas con OSSIM, que es un SIEM Open Source. Bien, esto se basa en los logs de los sistemas para generar alertas o alarmas de seguridad, por ejemplo si hacen un ataque de fuerza bruta o el tipo de ataque que sea, se leen los logs y se correlacionan, es decir, si se cumplen ciertas condiciones, la alarma va a saltar.

El caso es que deseo reenviar una alarma de fuerzabruta por ssh de un servidor 1 a otro servidor 2. He configurado los archivos rsyslog.conf en el servidor 1 para que envíe a la dirección ip del servidor 2 y el servidor 2 para que reciba estos mensajes y los loguee en su propio syslog. O en el archivo auth.log que sería concretamente donde se leen los logs que generan esta alarma en cuestión.

Pues lo que he hecho es lo siguiente: cuando una alarma aparece en el servidor 1, se va a ejecutar el comando logger, el cual va a enviar un mensaje con el mismo texto exacto que ha generado la alarma. Este texto lo vemos en auth.log. Entonces, sucede que el sevidor 2 recibe convenientemente los mensajes, y puedo verlos en su archivo auth.log como entran cada vez que una alarma es generada. Sin embargo el servidor 2 no lo detecta como tal.

Creo que esto es debido a que logger añade un pequeño texto al inicio de cada mensaje, sería algo similar a esto:

Yo le digo al logger que envíe el mensaje "hola colega"

Entonces logger lo envía y llega adecuadamente a su destino. Sin embargo, logger añade un pequeño encabezado al principio de mi mensaje.

(linea1) Message from syslogd@.... "hola colega"
(linea2) Y en esta linea mi mensaje.

Es como si lo hiciera dos veces. Yo le digo logger, manda esto, y es como si el logger escribiera primero "oye que voy a escribir este mensaje" (linea1) y va y lo escribe (linea2).

Yo creo que es posible que la ausencia de detección sea debida a este encabezado añadido. He tratado de eliminarlo pero no he localizado documentación apropiada para ello.

Entonces, ¿podría alguien decirme si es posible eliminar este encabezadp? ¿O alguna idea para solucionar el asunto?

Gracias de antemano.
Saludos
« Última modificación: 11 Noviembre 2013, 16:16 pm por young0320 » En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problemas con reenvío de cookies.. en XSS vulnerable.
Nivel Web 		Blixx 1 2,830 Último mensaje 6 Agosto 2006, 23:14 pm
por ifcaro
bat reenvio de archivos « 1 2 »
Scripting 		bela lugosi 10 5,126 Último mensaje 22 Agosto 2013, 08:22 am
por bela lugosi
Logger vs LogFactory
Desarrollo Web 		JobFer 0 1,340 Último mensaje 21 Octubre 2014, 08:43 am
por JobFer
[Ayuda] reenvio de puertos mediante ssh linux
Redes 		Yowuillian 2 3,297 Último mensaje 12 Junio 2023, 19:08 pm
por Fernando Morales
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines