Encaminhando Syslog / Event Log Across Networks

1

Estou tentando encaminhar syslogs e logs de eventos em redes (internet).

Win Computer ----|              (There will be multiples
                                 of these forwarding to a single source)
Win Server ------|      
                 >> Internal Syslog Server >> || >> External Syslog Server >> Splunk
Win Server ------|

Win Router ------|

Eu estou querendo saber o que seria necessário para implementar isso (eu posso obter os logs para o servidor Syslog interno), mas meu problema é garantir que todos os logs do servidor interno são mantidos autênticos e parecem os mesmos quando chegarem Splunk sem ser alterado. Também provavelmente precisará de criptografia.

Haverá 4-5 diferentes servidores de Syslog internos diferentes encaminhando para esta fonte externa.

Então, a minha pergunta sobre isso é, eu vou com rsyslog, syslog-ng etc .. ou eu vou com uma VPN no servidor Syslog interno encaminhando os eventos através da VPN?

Se o encaminhamento do syslog usando criptografia / TCP é melhor, então é possível / factível?

    
por m3rl1n 22.03.2014 / 04:34

1 resposta

1

O syslog pode ser criptografado com o TLS, que usará o TCP. O TCP garante a capacidade de entrega dos pacotes (desde que o aplicativo faça a coisa certa) e o TLS cuida da criptografia. Tradicionalmente, o TCP e o TLS / SSL são vistos como tendo muita sobrecarga e é por isso que as pessoas o evitavam no passado. Mas para redes modernas isso é totalmente factível.

Para começar, tenha uma noção da rfc5425: Entrega confiável para o syslog e rfc5425: Mapeamento de transporte TLS (Transport Layer Security) para o Syslog .

O TCP e o TLS são possíveis com o rsyslog, consulte o link

    
por 22.03.2014 / 05:59