深い雪

NewかNextな感じで、新世代か次世代なsyslog
TCPでログ送ったりメールを送ったり

swatchでメール送信するよりいいのかな、と
とりあえずインストールしてみる
apt-get install syslog-ng


Priority: 1を見つけたらrootへメールする感じ
/etc/syslog-ng/syslog-ng.conf

destination email_alert_script {program (“/usr/local/bin/alert_mail.sh”); };
filter high_priority {match (“Priority: 1″); };
log { source(src); filter(high_priority); destination(email_alert_script); };

メール送信部
/usr/local/bin/aleat_mail.sh

#!/bin/sh
while read line; do
echo $line |mail -s “High Priority Snort Alert” root
done

chmod +x aleat_mail.sh

要らないログ（logcheck 使ってたら）
/etc/logcheck/logcheck.ignore

syslog-ng\[.*\]: STATS: dropped 0

syslog の受信 UDP ポートで待機

source src { unix-stream(“/dev/log”); internal(); udp(); };

UDP のスキャン
nmap localhost -sU


syslog() 及び syslogd の考察
syslogdの設定をマスターしよう
安全性の高いログ・サーバへの乗り換えのススメ
syslog-ngへの切り替え
Snortにリアルタイム警告を実装する
BSDとか
Optionsとか
説明とか

Check