ハニーポット cowrie に囚われてみた
kawa.xxx
kawalog
WOWHoneypotをサービス化してみるではとりあえず常時起動しているように設定しました。このままではログファイルがどんどん肥大化していき、いずれはディスクフルでサーバが止まってしまいます。そこで、今回はログのローテートの設定を入れてみたいと思います。
WOWHoneypot はデフォルトでは log/access_log
と log/wowhoneypot.log
にそれぞれアクセスログとハニーポットのログと分けて保存されます。ただし、ローテートなどの設定はデフォルトでは出来ないため、動かし続けるとログがディスクを埋め尽くしてしまいます。
ログの集積は別途考えるとして、まずは一ヶ月分のみローカルに日次でファイルを分けた形でログを保持し、それより古いものは削除するという設定をしてみたいと思います。
/etc/logrotate.config に設定を記載しても良いのですが、/etc/logrotate.d/ 配下がインクルードされているので、 wowhoneypot 用のファイルをつくってそこにローテートの設定を記載するようにしましょう。
sudo vi /etc/logrotate.d/wowhoneypot
wowhoneypot は日々増えていくログファイルは2種類あるので、全く同じ設定ですが、2つに分けて書きます。
ログ量の増え方が全然違うのですぐローテートするタイミングを変えたくなるだろうなと思ってです。
/home/wow/wowhoneypot/log/access_log{ ifenpty dateformat .%Y%m%d missingok daily rotate 30 endscript } /home/wow/wowhoneypot/log/wowhoneypot.log{ ifenpty dateformat .%Y%m%d missingok daily rotate 30 endscript }
これでひとまず、ディスクフルでhoneypot が止まってしまうということはなくなりました。次回はいよいよログの集積環境を作っていきたいと思います。