我试图弄清楚,我想要完成的是否可能。 我想要的是让所有设备都将日志发送到系统日志服务器,然后让Splunk将所有内容都拉到日志中,除了我的防火墙之外。 然后,我需要另一个服务(托pipe)从syslog服务器中提取防火墙日志。 但是我想确保托pipe服务不能访问除防火墙以外的其他任何日志。 所以我的问题是,这是可能的,如果是的话,我应该在这里设置什么样的configuration?
首先想到的是让所有设备login到系统日志服务器,并将日志存储在数据库中。 一个用于防火墙日志的数据库(让我们称之为firewall_logs),其余一个(other_logs)。 已经使用无法访问firewall_logs的用户splunk从其他日志中提取日志,并让托pipe服务使用不同的用户从firewall_logs中获取日志。
您可以在Splunk中为防火墙数据设置单独的索引。
configuration防火墙数据以进入防火墙索引。
为托pipe服务用户添加一个angular色。 只允许该angular色访问防火墙索引。