A coisa certa a se usar para isso é o TLS com certificados de cliente de máquina.
O rsyslog está fazendo isso desde 2008 e tem ótimas instruções: link
O processo é extremamente simples, conforme essas coisas acontecem:
- Configurar uma CA
- Emita certificados para todos os seus computadores dos quais você deseja registros
- Configurar o rsyslog para usar essa autenticação
Em seguida, seus computadores não podem representar um ao outro e ninguém pode fazer login no seu servidor de registros sem um dos seus certificados.
Eu vejo que você já descobriu isso, mas você ainda está preocupado com a advertência deles. Eu não me preocuparia muito com isso. Log injeção é certamente uma coisa, mas é muitas coisas, incluindo injeção através da aplicação e injeção no processo de registro. O rsyslog autenticado não irá protegê-lo se alguém tiver um ataque de injeção de log em seu aplicativo, mas nada será possível; apenas consertar o aplicativo pode ajudar nisso. Isso apenas protegerá você contra logs falsos.
As outras advertências podem ser facilmente mitigadas por não usar relés, o que realmente não há motivo para fazer. Se você não tiver retransmissões e usar a opção x509 / name para o driver de conexão gtls no servidor rsyslog, não terá problemas.
Veja também o documento de configuração gtls: link