备份 systemd 日志的安全方法

备份 systemd 日志的安全方法

我在树莓派上安装了 arch linux,并希望开始定期将日志备份到一些外部一次性写入介质。它可能是一张 CD,但我还不确定,它可能会发生在我的本地网络上(我有一台旧笔记本电脑,用作另一台具有 CD 驱动器的服务器)。我不想仅使用系统备份,因为我想添加额外的冗余层,并且因为我不想为系统备份使用一次写入介质。

我有几个问题:

  1. 是否有任何出于安全目的使用 systemd 日志记录的指南(即保护日志免受攻击者攻击)?
  2. 将日志存储在 CD 上而不是磁带驱动器上有哪些缺点?
  3. 是否有工具可以比较两个 systemd 日志并检查特定日期的差异?

答案1

将日志存储在 CD 或磁带驱动器上似乎不是一个高效且可用的解决方案。相反,您可以设置一个单独的、安全的服务器计算机(或者可能是虚拟机),您可以向其发送日志。您可以在该服务器上安装 log-stash,它将为您过滤日志(您想要保留什么类型的数据以及想要丢弃什么类型)。

为了高效存储和检索,您可以安装与 log-stash 集成的 Elastic-search。要查看数据(并检查差异),您可以使用 Kibana。

在客户端,您可以编写自己的脚本将日志发送到日志服务器(logstash+elasticsearch+kibana),也可以使用 file-beat 来监视日志文件并将数据发送到 log-stash。

相关内容