Você pode fazer isso com qualquer um dos servidores syslog modernos (minha recomendação seria syslog-ng porque eu estou familiarizado com isso, mas rsyslog é outra opção).
Praticamente todo sistema suporta syslog de alguma forma (todo roteador / switch de nível profissional com que trabalhei faz, máquinas Unix, e acredito que o Windows pode até mesmo enviar mensagens de log de eventos para servidores syslog), o que o torna uma boa opção .
O protocolo syslog é datagrama UDP tradicionalmente não seguro, mas os servidores syslog modernos têm suporte TCP, e eu sei syslog-ng também suporta SSL / TLS.
No que diz respeito à maneira como você coleta os dados de log, as estratégias de implementação variam.
Uma opção é simplesmente permitir que todos os seus hosts se conectem ao servidor syslog e fazer com que eles enviem suas mensagens de log para lá. Isso é relativamente simples, mas potencialmente menos seguro (você precisa dar um soco em muitos buracos de firewall ou permitir que o universo inteiro fale com seu servidor de log).
Outraopçãosãoosagregadoresdeloglocaisqueencaminhamparaumservidordelogcentral(semelhanteàarquiteturaquevocêdescreveemsuapergunta).Issogeralmenteéconsideradoumaopçãomelhorpordoismotivosprincipais:
Émaisfácilproteger
Oservidordelogcentralsóprecisaaceitarconexõesdeclientes"autorizados" e os servidores de log locais só precisam aceitar conexões de sua rede local.-
Oferece-lhe alguma redundância
Se o servidor de log central estiver inativo para manutenção, você ainda estará coletando logs nos servidores locais e eles poderão ser encaminhados quando o servidor central estiver disponível novamente.