我们设置了一个集中式系统日志服务器(运行 rsyslogd 的 RHEL 7),用于接收来自大多数主机的系统日志数据。我们的安全团队也希望接收数据。我不想使用发送到安全日志服务器的相同数据来重复与系统日志服务器的连接。我正在寻找一种 syslog 服务器配置,该配置将从所有主机接收的数据传递到安全日志分析器,以最大程度地减少 1,000 多个主机上的更改。
答案1
从现有的中央日志服务器 (RHEL-7),将以下行附加到文件/etc/rsyslog.conf中
*.* @X.X.X.X:514
*.* @@X.X.X.X:514
其中 XXXX 是驻留在安全团队内的新日志服务器的主机名或 IP 地址。单@符号表示 UDP,双@@符号表示 TCP,514是目标端口。就日志而言,UDP 是首选传送方法。最后在现有服务器上重新启动 rsyslog。
$ sudo systemctl restart rsyslog
然后跳到新的系统日志服务器(安全团队)并将其配置为接受日志:编辑文件/etc/rsyslog.conf并取消注释以下两行:
$ModLoad imudp
$UDPServerRun 514
然后重启rsyslog服务
$ sudo systemctl restart rsyslog
然后将rsyslog添加到防火墙例外中
$ sudo firewall-cmd --permanent --add-port=514/tcp
$ sudo firewall-cmd --permanet --add-port=514/udp
$ sudo firewall-cmd --reload
RHEL-7 中央日志服务器将继续接收来自 1000 多个主机的日志,同时将所有日志转发到驻留在安全团队中的新服务器。
一旦它起作用,那么你可以考虑使用带有 SSL 的 rsyslog为了保密