Пересылка системного журнала / журнала событий по сетям
Я пытаюсь переслать системные журналы и журналы событий через сети (Интернет).
Win Computer ----| (There will be multiples
of these forwarding to a single source)
Win Server ------|
>> Internal Syslog Server >> || >> External Syslog Server >> Splunk
Win Server ------|
Win Router ------|
Мне интересно, что нужно сделать, чтобы реализовать это (я могу получить журналы на внутренний сервер системных журналов), но моя проблема заключается в том, чтобы убедиться, что все журналы с внутреннего сервера сохраняются подлинными и выглядят одинаково, когда они становятся безрассудными изменилось. Также, вероятно, потребуется шифрование.
Будет 4-5 разных внутренних серверов Syslog, перенаправляющих на этот внешний источник.
Поэтому мой вопрос по этому поводу заключается в том, использовать ли rsyslog, syslog-ng и т. Д. Или использовать VPN на внутреннем сервере системного журнала для пересылки событий через VPN?
Если пересылка syslog с использованием шифрования /TCP лучше, то возможно ли это сделать?
1 ответ
Системный журнал может быть зашифрован с помощью TLS, который будет использовать TCP. TCP гарантирует доставку пакетов (если ваше приложение делает правильные вещи), а TLS заботится о шифровании. Традиционно считается, что TCP и TLS / SSL имеют слишком много накладных расходов, поэтому в прошлом люди избегали этого. Но для современных сетей это вполне выполнимо.
Для начала ознакомьтесь с RFC rfc5425: надежная доставка для системного журнала и rfc5425: сопоставление транспорта для транспортного уровня (TLS) для системного журнала.
TCP и TLS возможны с rsyslog, см. http://www.rsyslog.com/doc/v7-stable/tutorials/tls.html