Ein Eintrag in einem Log als eine unter Millionen Meldungen
Deswegen der ``-t 'access.txt'´´ (--tag) am logger Befehl, mit dem kann der empfangende rsyslogd auf dem logserver genau diese und nur diese loglines filtern und in ein eigenes file schreiben. Im Endeffekt hast Du am Schluss genau die gleiche access.txt Datei nur halt auf dem remote logserver und vermutlich dort dann in /var/log/ anstatt in /tmp/, und sie ist immanent schreib/loeschgeschuetzt gegenueber einem Angreifer der sich auf die CCU einloggen konnte.Das zeitversetze Versenden per mail kannst Du immer noch machen wenn du willst, aber wenn Du das auf der CCU machst dann besteht die Gefahr dass das nie stattfindet weil vorher schon alles gekapert und ausgehebelt wurde.
Ich benötige genau diesen einen Trigger und einen vollständig autarken Meldeweg schon während eines Angriffsversuchs
Eben. Das gelingt am sichersten wenn der Zugriff *sofort* auf ein anderes System geloggt wird, noch bevor die erste boesartige URL die CCU zum Absturz gebracht hat. Aber klar kann man das auch so machen wie du skizziert hast, ich wollte nur drauf hinweisen dass die CCU serienmaessig remote logging unterstuetzt und das ist eigentlich das Mittel der Wahl fuer genau so einen Anwendungsfall.
Sieht auf einem meiner Systeme so aus
Code: Alles auswählen
/sbin/syslogd -n -m 0 -s 4096 -b 1 -D -R 192.168.178.21 -L
[aus htop] - Ich hab nur in der WebUI wie weiter oben beschrieben die IP Adresse eingetragen
Auf meinem logserver PC ist in /etc/rsyslog.conf dann sowas un der Art:
Code: Alles auswählen
# HOMEMATIC messages into separate file and stop their further processing
#
if ($hostname == 'homematic') \
then /var/log/homematic
& stop
cheers
jOERG