Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 1596 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

dshield.org

BarryG
Has anyone configured their ASL to submit to dshield.org?
http://www.dshield.org/howto.php

Lots of ways to do it, just wondering if anyone's figured out a simple way to set it up.

I'm not using remote syslog at the moment, but it is an option.

Thanks,
Barry


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    I have been a Dshield.org member for more than a year now. I use the same approach as Simon Shaw. The live kernel logging from ASL is forwarded to a Kiwi Syslog daemon running on a Windows XPpro workstation that stays on 24x7. The Dshield.org CVTwin.exe task runs on the WinXPpro workstation at 11:59 PM every evening via the task scheduler. It takes the logs from the Kiwi Syslog Daemon's log file, filters and reformats them and emails one copy to Dshield.org and another copy to me. CVTwin keeps track of the time stamp where it has gotten to in the log, so it won't mail in the same log lines twice.

    The setup works flawlessly, except for the fact that the log file created by the Kiwi Syslog Daemon keeps growing. So once a month or so, when I get around to it, I stop the Kiwi Syslog Daemon just after midnight, blow away the log file, and restart it.
  • 0 in reply to VelvetFog
    Cool... thanks.

    I've got a linux box behind ASL I can probably have syslog go to.

    I noticed the dshield Linux agent is written in Perl... was thinking it might be easy to get it running on ASL, but haven't looked at it too hard yet.

    Thanks,
    Barry
  • 0 in reply to VelvetFog
    BTW, you could probably use the Windows task scheduler to run a batch file that does:
    net stop 
    del logfile
    net start 

    Barry
  • 0 in reply to BarryG
    Oooh now yer getting fancy! [;)]

    I'm still deciding if it's worthwhile or not.  The daily report of top attackers and sources is nice though and adds to the IDS of Astaro nicely.
  • 0 in reply to Simon Shaw
    Yes, checking the daily log, which I do by scrolling down through the daily email I get from CVTwin, adds quite a bit to my comfort zone. I look for repeat patterns in the email log, before I delete it, and if an IP address appear to be hitting on me a lot, I generally copy it into my NeoTrace visual traceroute program, to see where it is coming from. My daily log file email from CVTwin is usually from  60 to 180 KB in size. It is scary how many people out there are looking for open ports on a residential ADSL connection like mine.
  • 0 in reply to VelvetFog
    Hi VelvetFog-
    I've been trying to get this to work, but I apparently haven't got the right match of formats yet.  Could you share how you have ASL remote syslog setup as well as the cvtwin.exe windows dshield client?
    I am logging the following from ASL Remote Syslog function to a WinXP pro box running kiwi:
    - Intrusion Protection System
    - Kernel Messages
    - Portscan

    I have tried various conversion settings in the dshield client (iptables, and Kiwi (all Formats)), but none of the records gets converted (according to the summary.  I have 18,000 lines in the kiwi log, so I know the logging is working.

    Thanks for the help,
    Greg
  • 0 in reply to VelvetFog
    Velvetfog, why don't you just use the builtin archiving in Kiwi? See my attached screenshot for an example. I have it run every night since my daily syslogs are over 400MB in size.
  • 0 in reply to Greg_DePasse
    [ QUOTE ]
    Could you share how you have ASL remote syslog setup as well as the cvtwin.exe windows dshield client?

    [/ QUOTE ]I have ASL send the kernel log to my Windows workstation where the Kiwi Syslog Daemon is running. The CVTWIN task is configured for Kiwi Syslog Daemon (IPTables) on the drop down list. The only other configuration I did, was to add a few filters in CVTWIN, so that the entries created by the VPN and Bit Torrent traffic hitting my firewall wouldn't get sent in, and also configuring CVTWIN to use my ASL SMTP proxy My setup has worked fine from day one, so I don't really have any experience in debugging problems with CVTWIN.

    All I can suggest is to blow away the Kiwi log file, and either reinstall CVTWIN, or do a thorough read through and editing of its INI file, as well as the other text files in the CVTWIN directory that have current (less than 24 hrs old) time stamps.
  • 0 in reply to ReD-MaN
    [ QUOTE ]
    Velvetfog, why don't you just use the builtin archiving in Kiwi?  

    [/ QUOTE ] Maybe I should, but I can't. I don't have the Archiving feature  in my Kiwi version.  I'm running Kiwi 7.1.0 Beta5 unregistered. It doesn't have all of the advanced Kiwi features enabled. With a 20 GB C: drive partition on the WinXP workstation, and a third of it still free, I haven't been too worried about the size of the SyslogCatchAll.txt file. And the archiving function, should I get it working, will just move the aged entries out of the SyslogCatchAll.txt file and place them in other log files in the Dated logs subdirectory, right? It won't buy me anything in terms of freeing up disk space on the C: drive.