作为TLS上的syslog转发器(所需的基于证书的身份验证)

Question

我想配置一台机器，以通过TLS连接到中央日志收集器(在本例中为redhat OS7 )。resyslogd需要使用客户端证书进行身份验证。我已经有密钥、证书和CA证书(包括中间CA)可用。

但是，我没有找到一个很好的配置示例来设置它。我和StreamDriver完全迷路了。我希望将rsyAdd.1-d用作其TLS上配置的本地日志事件的syslog转发器，并将其发送到中央日志收集器。并且需要基于证书的身份验证。

Answer 1

关于您的问题，我理解您已经拥有使用TLS身份验证所需的所有证书和密钥文件。

下面是一个使用来自在Linux上使用rsyslog (上使用)配置安全远程日志的TLS的示例rsyAdd.1-d配置

# make gtls driver the default
$DefaultNetstreamDriver gtls

# certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog-keys/ca.pem
$DefaultNetstreamDriverCertFile /etc/rsyslog-keys/node3-cert.pem
$DefaultNetstreamDriverKeyFile /etc/rsyslog-keys/node3-key.pem

$ModLoad imtcp  # TCP listener
$InputTCPServerStreamDriverMode 1  # run driver in TLS-only mode
$InputTCPServerStreamDriverAuthMode anon
$InputTCPServerRun 6514  # start up listener at port 10514

在这里，您可以根据您的环境替换证书和密钥文件位置，如果您使用的是不同的端口，那么可以为InputTCPServerRun更改相同的端口。

本文使用GTLS作为默认的StreamDriver，因此，如果还没有可用的$DefaultNetstreamDriver gtls，则可能必须手动安装它。

还要检查服务器和客户端之间的SELinux和防火墙，以确保它们没有阻止日志传输。