Я могу отправлять журналы на сервер graylog, указав конкретные сведения в моем файле rsyslog на узле.
*.* @logs.example.com:1337
Мой вопрос в том, что если у кого-то еще есть эта информация о моем сервере серого журнала, этот человек также может отправлять журналы на мой сервер серого журнала.
Как я могу гарантировать, что журналы, которые я получаю, ведутся только с моего сервера и кто-то другой не использует эту информацию. То есть какой-то король аутентификации на конце узла для отправки журналов.
В зависимости от того, какой у вас локальный сервер системного журнала, вы можете настроить связь через TLS и потребовать аутентификацию клиента. В качестве альтернативы вы можете сделать это с помощью правил iptables на узле, используя идентификатор пользователя и группы исходного соединения.