Спасибо за ответ
но как я понял , удаление все равно происходит только по "дате". То есть мы выполняем ротацию по размеру или дате ( стадия Hot) а в стадии "Delete" удаляем от даты создания. Таким образом нельзя ограничить объем хранимых индексов ( не больше 80Гб).
Давайте уточним.
На сколько я понял они ставятся, но при перезагрузке, после установки, у вас показывается то что на скриншоте. Так ?
Если так то - необходимо узнать по подробнее как вы именно ставите, какие параметры выбираете в ходе установки и тп., есть шанс что на этом этапе что то напутано.
Сергей: Honyepot стоит понимать не как средство замены описанных вами решений , а как дополнение, помогающее обнаружить неизвестные на текущий момент типы атак. Без условно это не гарантирует 100% безопасности (впрочем как и применение описанных вами методик).
Сергей: это вы о чем : "все должно быть разнесено по разным сегментам сети и у него прав должно быть не больше кучк говна от мухи" у кого не должно быть прав ? , и что значит все должно быть разнесено по разным сегментам сети, что это "ВСЁ" ?
Сергей: по логам трудно отличить злоумышленника от обычного пользователя, если только он не хочет получить админовский доступ. А в случае срабатывании данной ловушки мы нам будет понятно что в сети есть кто то лишний.
SergioMaroni: как я писал ранее, мы можем на данную ловушку ставить не только клиентские ОС, но серверные с каким либо сервисом: SQL, FTP, HTTP и прочее, повышая таким образом привлекательность. При этом данная ОС должна быть заведомо уязвимой и соответственно более привлекательной чем полностью обновленный DC. Злоумышленникам ведь надо поднимать свои полномочия в локальной сети, а тут как раз наш уязвимый сервер или клиент с каким либо сервисом и тп.
CityCat4: Есть персонал который работает круглосуточно. Так что после сигнала системы мониторинга именно они должны предпринять какие либо действия. Насчет привлекательности - на данной ловушке можно развернуть какие либо сервисы :http, ftp, smb, sql и тп. Без условно Dc и прочее более привлекательны, и нет ни какой гарантии что именно ее начнут ломать, но благодаря ей появляется шанс что это произойдет и тогда мы будем знать о зловреде в нашей сети. На работающем DC или каких либо других сервисах достаточно трудно отделить правомерного пользователя (особенно в сети с численностью персонала за 2000) от злоумышленника, а в данной системе должны быть только злоумышленники других там быть не должно, в этом вся суть.
Смысл в том что данный комп ничем не отличается от клиентских, только наличием уязвимости и при сканировании злоумышленник скорее всего выберет менее защищенную.
но как я понял , удаление все равно происходит только по "дате". То есть мы выполняем ротацию по размеру или дате ( стадия Hot) а в стадии "Delete" удаляем от даты создания. Таким образом нельзя ограничить объем хранимых индексов ( не больше 80Гб).