我正在尝试跨networking(互联网)转发系统日志和事件日志。
Win Computer ----| (There will be multiples of these forwarding to a single source) Win Server ------| >> Internal Syslog Server >> || >> External Syslog Server >> Splunk Win Server ------| Win Router ------| 我想知道如何实现这一点(我可以把日志到内部系统日志服务器),但我的问题是确保所有来自内部服务器的日志保持可信,当他们得到splunk没有被看起来相同改变。 也可能需要encryption。
将有4-5个不同的内部系统日志服务器转发到这个外部源。
所以我的问题是,我是否与rsyslog,syslog-ng等去?还是我去VPN内部系统日志服务器通过VPN转发事件?
如果使用encryption/ TCP的系统日志转发更好,那么是否有可能/可行?
Syslog可以使用TLS进行encryption,TLS将使用TCP。 TCP保证数据包的传递(只要你的应用程序做对了),TLS负责encryption。 传统上,TCP和TLS / SSL被认为是有太多的开销,这就是为什么人们过去避免它。 但是对于现代networking来说,这是完全可行的。
要开始,请了解RFC rfc5425:syslog和rfc5425的 可靠传递:Syslog的 传输层安全性(TLS)传输映射 。
使用rsyslog可以使用TCP和TLS,请参阅http://www.rsyslog.com/doc/v7-stable/tutorials/tls.html#abstract