Я бы собирал журнал (в частичном аудите, но также и другой журнал системного журнала), созданный несколькими серверами Linux на централизованном сервере системного журнала, установленном на сервере Linux. Я бы настроил централизованный сервер системного журнала в защищенной сети, где централизованный сервер системного журнала может инициировать подключения к другому серверу, но другой сервер, производящий журналы (некоторые из них также доступны в Интернете), не может инициировать какие-либо подключения к нему.
Я знаю, что rsyslog позволяет отправлять журнал в удаленный системный журнал, используя tcp или udp, как описано, например, в http://www.rsyslog.com/sending-messages-to-a-remote-syslog-server/ но в этом случае я не могу его использовать, потому что серверы не могут отправлять журнал на централизованный сервер системного журнала из-за ограничения, описанного выше.
Существуют ли другие инструменты или программное обеспечение для доставки журналов, действительно использующие стратегию извлечения из стратегии «push», используемой rsyslog?
Я бы посоветовал избегать метода «вытягивания», если вы полностью не уверены (или совершенно не заботитесь) о своей безопасности. Если журналы хранятся на локальном хосте (на стороне клиента), злоумышленник может легко вмешаться в них и не только усложнить расследование, но и приведет вас к ложным указаниям.
При этом, возможно, лучший способ - перенаправить журналы в канал (push), а затем удаленно вытащить их.
Шаги, которые необходимо предпринять ...
1) труба микропайп
2) Перенаправить журналы в канал ( http://www.rsyslog.com/doc/v8-stable/configuration/modules/ompipe.html )
3) от клиента: nc -l 12345 0
4) с сервера: nc clientip 12345> / var / log / clientlogs
Я предполагаю, что вы можете использовать ssh между своими машинами. Может ты можешь попробовать туннельный системный журнал по ssh