Estou tentando descobrir se o que estou tentando realizar é possível ou não. O que eu quero é que todos os meus dispositivos enviem logs para um servidor syslog e, em seguida, faça com que o Splunk traga logs para tudo EXCETO meus firewalls. Então eu preciso de outro serviço (gerenciado) para puxar logs para os firewalls do servidor syslog. Mas quero garantir que os serviços gerenciados não tenham acesso aos logs para nada além dos firewalls. Então, minha pergunta é, isso é possível e, em caso afirmativo, que tipo de configuração eu deveria estar procurando para configurar aqui?
A primeira coisa que vem à mente é fazer com que todos os seus dispositivos façam login em um servidor syslog e armazenem os logs nos bancos de dados. Um banco de dados para logs de firewall (permite chamá-lo de firewall_logs), um para o resto (other_logs). Faça o splunk extrair os logs de outros_logs usando um usuário que não tenha acesso a firewall_logs e faça com que o serviço gerenciado retire os logs de firewall_logs com um usuário diferente.