我正在尝试弄清楚我试图完成的事情是否可行。我想要的是让我的所有设备将日志发送到 syslog 服务器,然后让 Splunk 提取除防火墙之外的所有设备的日志。然后我需要另一项服务(托管)从 syslog 服务器提取防火墙的日志。但我想确保托管服务无法访问防火墙以外的任何设备的日志。所以我的问题是,这是否可行,如果可行,我应该在这里设置什么样的配置?
答案1
首先想到的是让所有设备都登录到 syslog 服务器,并让其将日志存储在数据库中。一个数据库用于防火墙日志(我们称之为防火墙日志),另一个数据库用于其他日志(其他日志)。让 splunk 使用无权访问防火墙日志的用户从其他日志中提取日志,并让托管服务使用不同的用户从防火墙日志中提取日志。