syslog umí posílat záznamy po síti. používá k tomu protokol UDP, což určitě není ideální, ale jako provizorní řešení to stačí. (existuje i verze logující přes TCP, syslog-ng, ale ještě jsem ho nezkoušel, až tak učiním, dám samozřejmě vědět). pokud jej spustíme s volbou -r, přijímá na portu 514 hlášení od jiných počítačů, zpracovává je dle svých vlastních filtrovacích pravidel, a zapisuje do logů. přístup na port je dobré omezit pomocí IP filtrů, jinak vám může logovat kdokoliv. (ono to sice jde s IP filtrem, ale aspoň odpadnou začátečníci.)
logovací server tedy, jak už bylo řečeno, vytvoříme tak, že syslogd, démon starající se o zapisování záznamů, spustíme s volbou -r. pomocí ipfwadm omezíme přístup jen pro mašiny pocitac1 a pocitac2, ostatní zakážeme:
ipfwadm -I -a accept -P udp -S pocitac1 -D lokalni.pocitac 514 ipfwadm -I -a accept -P udp -S pocitac2 -D lokalni.pocitac 514 ipfwadm -I -a reject -P udp -S 0/0 -D lokalni.pocitac 514
klienta vytvoříme tak, že do souboru /etc/syslog.conf přidáme řádku
*.* @ip.adresa.serveru(mezi položkami jsou tabelátory!)
uvedené řešení má několik vad: za prvé, spojení je přes UDP, nemáte tedy jistotu že pakety dorazily, a dokonce není problém je spoofovat, jinými slovy falšovat zdrojovou adresu. za druhé - tento způsob je velmi nápadný, schopný hacker jako první skoukne /etc/syslog.conf a vidí že je zle. jako alternativa se dá použít již zmiňovaný syslog-ng, ke kterému se určitě v budoucnu vrátíme.
zajímavým způsobem ochrany sítě může být vyhradit jeden starší počítač na logovací server, a udělat z něj tzv. blackbox, to jest mašinu, na které nepoběží žádná jiná služba, tím pádem bude téměř nehacknutelný a nikdo vám nebude moct logy modifikovat