Я пытаюсь пересылать системные журналы и журналы событий по сетям (Интернет).
Win Computer ----| (There will be multiples
of these forwarding to a single source)
Win Server ------|
>> Internal Syslog Server >> || >> External Syslog Server >> Splunk
Win Server ------|
Win Router ------|
Мне интересно, что потребуется для реализации этого (я могу получить журналы на внутреннем сервере системного журнала), но моя проблема заключается в том, чтобы все журналы с внутреннего сервера оставались аутентичными и выглядели одинаково, когда они попадали в splunk, не будучи изменилось. Также, вероятно, потребуется шифрование.
На этот внешний источник будут перенаправляться 4-5 различных серверов внутреннего системного журнала.
Итак, мой вопрос по этому поводу: использовать rsyslog, syslog-ng и т. Д. Или я использую VPN на внутреннем сервере системного журнала, пересылая события через VPN?
Если пересылка системного журнала с использованием шифрования / TCP лучше, то возможно ли это?
Системный журнал можно зашифровать с помощью TLS, который будет использовать TCP. TCP гарантирует доставку пакетов (при условии, что ваше приложение работает правильно), а TLS заботится о шифровании. Традиционно считается, что TCP и TLS / SSL имеют слишком много накладных расходов, поэтому в прошлом люди избегали этого. Но для современных сетей это вполне выполнимо.
Для начала ознакомьтесь с RFC rfc5425: Надежная доставка системного журнала и rfc5425: Транспортное сопоставление безопасности транспортного уровня (TLS) для системного журнала.
TCP и TLS возможны с помощью rsyslog, см. http://www.rsyslog.com/doc/v7-stable/tutorials/tls.html#abstract