Como você enviaria o syslog * com segurança * pela Internet pública?

Já experimentou syslog-ng e stunnel?

1. Instalar o Stunnel
2. Criar arquivos de certificado para syslog-ng sobre Stunnel
3. Configurar stunnel para uso com syslog-ng
4. Instalar o syslog-ng
5. Configurar o syslog-ng
6. FEITO!

NOTA:

O Stunnel ( link ) é um programa que permite criptografar conexões TCP arbitrárias dentro do SSL (Secure Sockets Layer) disponível no Unix e Janelas. O Stunnel pode permitir que você proteja daemons e protocolos não-SSL (como POP, IMAP, LDAP, etc.) fazendo com que o Stunnel forneça a criptografia, não exigindo alterações no código do daemon.

Resposta curta: VPN

Pode parecer um exagero, mas é a resposta certa e não complicada de configurar.

O Rsyslog pode fazer isso. Criptografando o tráfego de syslog com TLS

Você também pode conferir o Kiwi Secure Tunnel gratuito link

Use o syslog-ng ou outro daemon syslog que suporte TCP.

Envie os dados por um túnel criptografado. Não use um túnel ssh, é muito complicado.

O syslog UDP é um protocolo histórico danificado que deveria ter sido eliminado há muito tempo. Se o seu fornecedor fornecer por padrão, por favor, apóie-se neles.

Se o seu fornecedor não fornecer uma solução de syslog que assine cada mensagem antes de enviá-la, apóie-se nela.

O software é fácil, os algoritmos são fáceis. A política de instalá-lo por padrão não é.

Provavelmente, em primeiro lugar, não enviaria dados de registro pela Internet, mas instale um host de registro centralizado no (s) local (is) onde for necessário.

Hoje em dia, prefiro o rsyslog ao syslog-ng. É quase um substituto e tem uma variedade de documentos e "howtos", incluindo o envio de dados criptografados TLS / SSL (a partir da v3.19.0), versões mais antigas ainda podem usar o stunnel .

Na minha experiência com o rsyslog e o syslog-ng, o rsyslog vence na facilidade de configurabilidade, especialmente porque você pode usar o seu syslog.conf existente e adicioná-lo.

Por que vale a pena, o Rsyslog é o daemon syslog padrão em Debian Lenny (5.0), Ubuntu e Fedora .

Estou usando o rsyslog com tls. Há algum trabalho de preparação fora do escopo: implante uma CA local, adicione o certificado da CA a cada host, gere certificados individuais para cada host. (agora todos os seus hosts podem falar ssl uns com os outros)

Eu também precisei instalar o rsyslog-gnutls:

sudo apt-get install rsyslog-gnutls

Também restrinjai a conexão do syslog de saída (tcp 514) para que meus hosts possam se conectar apenas ao meu servidor rsyslog e criar uma lista de permissões no lado do servidor rsyslog para que apenas os hosts possam se conectar.

no /etc/rsyslog.conf

# make gtls driver the default
$DefaultNetstreamDriver gtls

# certificate files
$DefaultNetstreamDriverCAFile /etc/my_keys/internal_CA.crt
$DefaultNetstreamDriverCertFile /etc/my_keys/my_hostname.crt
$DefaultNetstreamDriverKeyFile /etc/my_keys/my_hostname.key

$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer my_syslog_server.com
$ActionSendStreamDriverMode 1 # run driver in TLS-only mode
*.* @@my_syslog_server.com:514 # forward everything to remote server

Parece que a configuração do syslog-ng é ainda mais fácil. (embora eu não tenha tentado isso) syslog-ng /etc/syslog-ng/conf.d/99-graylog2.conf

destination remote-server {  
    tcp ("my_syslog_server.com" port(514)
        tls(ca_dir("/etc/my_keys/"))
    );
};