我将在 Linux 服务器中安装的集中式 syslog 服务器中收集由多个 Linux 服务器生成的日志(特别是 auditd 日志,还有其他 syslog 日志)。我将在安全网络中配置集中式 syslog 服务器,其中集中式 syslog 服务器可以发起与其他服务器的连接,但生成日志的其他服务器(其中一些也暴露在互联网上)无法发起与其的任何连接。
我知道 rsyslog 允许使用 tcp 或 udp 将日志发送到远程 syslog,例如http://www.rsyslog.com/sending-messages-to-a-remote-syslog-server/但在这种情况下我无法使用它,因为由于上述限制,服务器无法将日志发送到集中式系统日志服务器。
是否有其他日志传送工具或软件可以与 rsyslog 使用的“推送”策略配合使用?
答案1
我假设您可以在您的机器之间进行 ssh。也许您可以尝试通过 ssh 隧道系统日志
答案2
我建议避免使用“拉”方法,除非您完全确定(或完全不在乎)您的安全性。如果日志存储在本地主机(在客户端),入侵者可以轻松篡改它们,这不仅会使调查更加困难,还会将您引向错误的方向。
话虽如此,也许最好的方法是将日志转发到(推送)管道,然后远程拉取它们。
要采取的步骤...
1)mkpipe logpipe
2)将日志重定向到管道(http://www.rsyslog.com/doc/v8-stable/configuration/modules/ompipe.html)
3)从客户端:nc -l 12345 0
4)从服务器:nc clientip 12345 > /var/log/clientlogs