Z
что, удалось подделать адрес отправителя в TCP сессии?..
а дело не в спуфинге, дело в доверии к событиям в сиеме (любом)
Size: a a a
2020 September 21
Z
спуфинг это вишенка на торте syslogа
Z
как сказал один человек, имея права админа кто тебе мешает штопать свои события в wineventlog)
К
как сказал один человек, имея права админа кто тебе мешает штопать свои события в wineventlog)
о, там всё несколько хуже - если известно, что с хоста собираются события по подписке, можно просто модифицировать указатель на последнее собранное событие в сессии
К
со всеми вытекающими
Z
о, там всё несколько хуже - если известно, что с хоста собираются события по подписке, можно просто модифицировать указатель на последнее собранное событие в сессии
и куку)
К
но с протоколом сислог (он же плейн текст) нужно держать ухо в остро, да... потому что события по нему изготовляются как нехрен делать
Z
или перевести на tcp)
RS
или перевести на tcp)
И захлебнуться )))
Z
И захлебнуться )))
нормально же общались
Z
m
И захлебнуться )))
почему же сразу захлебнуться-то? )
К
или перевести на tcp)
перевести на tcp - обязательно. в идеале - отказаться вовсе, что, увы, не всегда возможно.
RS
max
почему же сразу захлебнуться-то? )
ну не сразу )))
Z
перевести на tcp - обязательно. в идеале - отказаться вовсе, что, увы, не всегда возможно.
у меня 9к событий по сислогу в секунду
Z
от чего вы предлагаете мне отказаться)
К
max
почему же сразу захлебнуться-то? )
а потому что ваш коллектор начинает события проебывать уже при 9-11к по сислогу, причем зачастую теряя со временем источник целиком.
Z
а потому что ваш коллектор начинает события проебывать уже при 9-11к по сислогу, причем зачастую теряя со временем источник целиком.
))))))
К
решается установкой сислог сервера посередине с получением по tcp с записью в файл и последующем чтением из файла агентом
Z
решается установкой сислог сервера посередине с получением по tcp с записью в файл и последующем чтением из файла агентом
а что сислог сервер посередине не может потерять события по udp?