Foro de elhacker.net

Sistemas Operativos => GNU/Linux => Mensaje iniciado por: young0320 en 11 Noviembre 2013, 16:14 pm


Título: reenvío de log con logger
Publicado por: young0320 en 11 Noviembre 2013, 16:14 pm
Buenas,

Necesitaría si es posible que alguien me diese alguna idea para solucionar un problema con logger.

Dispongo de dos maquinas con OSSIM, que es un SIEM Open Source. Bien, esto se basa en los logs de los sistemas para generar alertas o alarmas de seguridad, por ejemplo si hacen un ataque de fuerza bruta o el tipo de ataque que sea, se leen los logs y se correlacionan, es decir, si se cumplen ciertas condiciones, la alarma va a saltar.

El caso es que deseo reenviar una alarma de fuerzabruta por ssh de un servidor 1 a otro servidor 2. He configurado los archivos rsyslog.conf en el servidor 1 para que envíe a la dirección ip del servidor 2 y el servidor 2 para que reciba estos mensajes y los loguee en su propio syslog. O en el archivo auth.log que sería concretamente donde se leen los logs que generan esta alarma en cuestión.

Pues lo que he hecho es lo siguiente: cuando una alarma aparece en el servidor 1, se va a ejecutar el comando logger, el cual va a enviar un mensaje con el mismo texto exacto que ha generado la alarma. Este texto lo vemos en auth.log. Entonces, sucede que el sevidor 2 recibe convenientemente los mensajes, y puedo verlos en su archivo auth.log como entran cada vez que una alarma es generada. Sin embargo el servidor 2 no lo detecta como tal.

Creo que esto es debido a que logger añade un pequeño texto al inicio de cada mensaje, sería algo similar a esto:

Yo le digo al logger que envíe el mensaje "hola colega"

Entonces logger lo envía y llega adecuadamente a su destino. Sin embargo, logger añade un pequeño encabezado al principio de mi mensaje.

(linea1) Message from syslogd@.... "hola colega"
(linea2) Y en esta linea mi mensaje.

Es como si lo hiciera dos veces. Yo le digo logger, manda esto, y es como si el logger escribiera primero "oye que voy a escribir este mensaje" (linea1) y va y lo escribe (linea2).

Yo creo que es posible que la ausencia de detección sea debida a este encabezado añadido. He tratado de eliminarlo pero no he localizado documentación apropiada para ello.

Entonces, ¿podría alguien decirme si es posible eliminar este encabezadp? ¿O alguna idea para solucionar el asunto?

Gracias de antemano.
Saludos


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines