Назад | Перейти на главную страницу

Сегментирование журналов системного журнала и доступ к ним

Я пытаюсь понять, возможно ли то, что я пытаюсь сделать, или нет. Я хочу, чтобы все мои устройства отправляли журналы на сервер системного журнала, а затем имели журналы извлечения Splunk для всего, КРОМЕ моих брандмауэров. Затем мне нужна другая служба (управляемая) для получения журналов для брандмауэров с сервера syslog. Но я хочу убедиться, что управляемые службы не имеют доступа к журналам для чего-либо, кроме брандмауэров. Итак, мой вопрос: возможно ли это, и если да, то какую конфигурацию я должен искать здесь?

Первое, что приходит в голову, - это сделать так, чтобы все ваши устройства регистрировались на сервере системного журнала и хранили журналы в базах данных. Одна база данных для журналов брандмауэра (назовем ее firewall_logs), одна для остальных (other_logs). Попросите splunk извлекать журналы из other_logs, используя пользователя, у которого нет доступа к firewall_logs, и пусть управляемая служба извлекает журналы из firewall_logs с другим пользователем.