我正在尝试跨网络(互联网)转发系统日志和事件日志。
Win Computer ----| (There will be multiples
of these forwarding to a single source)
Win Server ------|
>> Internal Syslog Server >> || >> External Syslog Server >> Splunk
Win Server ------|
Win Router ------|
我想知道实现这一点需要什么(我可以将日志发送到内部 Syslog 服务器),但我的问题是确保来自内部服务器的所有日志都保持真实,并且当它们到达 splunk 时看起来相同而没有被更改。还可能需要加密。
将有 4-5 个不同的内部 Syslog 服务器转发到该外部源。
所以我的问题是,我是否使用 rsyslog、syslog-ng 等,还是使用内部 Syslog 服务器上的 VPN 通过 VPN 转发事件?
如果使用加密/TCP 的系统日志转发更好,那么它是否可能/可行?
答案1
Syslog 可以使用 TLS 加密,TLS 将使用 TCP。TCP 保证数据包的可传递性(只要您的应用程序执行正确的操作),TLS 负责加密。传统上,TCP 和 TLS/SSL 被认为开销太大,这就是人们过去避免使用它的原因。但对于现代网络来说,这是完全可行的。
首先,了解一下 RFCrfc5425:系统日志的可靠传送和rfc5425:Syslog 的传输层安全性 (TLS) 传输映射。
TCP 和 TLS 可以通过 rsyslog 实现,请参阅http://www.rsyslog.com/doc/v7-stable/tutorials/tls.html#abstract