Iptables

將數據包複製到另一個本地主機(SIEM)

  • September 17, 2020

我們有一個中央系統日誌伺服器,用於從我們的主機收集所有日誌,並且最近獲得了一個我們也想要收集日誌的 SIEM。

我們希望中央系統日誌伺服器將日誌複製到 SIEM,而不更改源 IP/源 Mac。不重定向,因為這樣我們就不會在 Syslog 伺服器中擁有日誌。因此,最終結果是我們將日誌發送到中央系統日誌伺服器,並且我們將在中央系統日誌伺服器和 SIEM 中從將其發送到中央系統日誌伺服器的資產的 IP 中獲得日誌。

我們想要這樣做的原因是。

  1. 有些設備只允許我們將日誌轉發到單個 syslog 設備
  2. 必須將所有設備配置為同時結束日誌是很耗時的。
  3. 如果我們根據日誌使用 rsyslog 從中央 Syslog 伺服器轉發任何日誌,則源將顯示為中央 Syslog 伺服器,這是 SIEM 上關聯的噩夢。有些日誌不包含源,因此對於這些日誌,SIEM 假定轉發日誌的設備是源。

我試圖用 iptables 做到這一點,但只能重定向日誌而不是發送重複的日誌。

這可以通過 IP 表或任何其他應用程序來完成。我願意接受任何建議。

您可以嘗試 iptables TEE 目標,但它有一個限制,即要將數據包複製到的目標必須位於同一第 2 層網段上。

從手冊頁:

TEE 目標將複製一個數據包並將這個複製重定向到本地網段上的另一台機器。換句話說,下一跳必須是目標,否則如果需要,您必須配置下一跳以進一步轉發它。

例如,在接收日誌的伺服器上,您可以執行以下操作:

iptables -t mangle -A PREROUTING -p udp --dport 514 -j TEE --gateway 192.168.87.203

這會將帶有原始源地址的 UDP 數據包的副本發送到給定的網關 IP 地址。

引用自:https://serverfault.com/questions/1034253