Мне нужна информация о связи системного журнала с использованием TLS. Не могли бы вы помочь мне в этом.
В настоящее время мы используем связь системного журнала без какой-либо безопасности. Это использование протокола UDP с сервером, прослушивающим порт номер 514. Это небезопасно. Мы хотим использовать syslog через TLS, через TCP с номером порта 6514. Просто хотел узнать, как мы можем этого добиться.
На данный момент используется демон syslogd. Пожалуйста, дайте мне знать, можно ли использовать тот же syslogd с расширением или syslogd следует заменить другим демоном.
rsyslog: http://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_summary.html
Или вы можете использовать тайник ELK, если хотите красивые блестящие консоли. Он использует что-то под названием Logstash (https://www.elastic.co/products/logstash), который принимает входные данные tls. На стороне клиента вам понадобится пересылка logstash (написанная на go, просто двоичный файл, https://github.com/elastic/logstash-forwarder).
Очевидно, что некоторые системы никогда не будут использовать tls (например, системный журнал в устройствах или сетевых устройствах).
Syslog-ng демон поддерживает TLS через транспорт TCP. Он популярен и доступен в виде пакета для любых основных дистрибутивов GNU / Linux. Вы можете использовать его как на сервере журналов, так и на серверах журналов (клиенты системного журнала) для достижения полной совместимости.
Имейте в виду, что многие приложения и аппаратные устройства могут поддерживать только классический протокол UDP с открытым текстом для системного журнала, поэтому вам, вероятно, придется оставить его включенным.
Я не могу помочь тебе с оригиналом syslogd демон, поскольку у меня нулевой опыт работы с ним. Однако есть универсальные решения, такие как станнель который может решить вашу проблему, добавив уровень безопасности поверх любого существующего решения.