跨网络转发Syslog/事件日志

Question

我试图通过网络(互联网)转发系统日志和事件日志。

Win Computer ----|              (There will be multiples
                                 of these forwarding to a single source)
Win Server ------|      
                 >> Internal Syslog Server >> || >> External Syslog Server >> Splunk
Win Server ------|

Win Router ------|

我想知道如何实现这个(我可以将日志拿到内部Syslog Server)，但我的问题是确保来自内部服务器的所有日志都是真实的，并且在不被更改的情况下到达splunk时看起来是一样的。也可能需要加密。

将有4-5个不同的内部Syslog服务器转发到此外部源。

所以我的问题是，我会和rsyslog，syslog-ng等一起去吗？还是使用内部Syslog服务器上的VPN通过VPN转发事件？

如果使用加密/TCP的syslog转发更好，那么是否有可能/可行？

Answer 1

可以使用TLS加密Syslog，TLS将使用TCP。TCP保证包的可交付性(只要应用程序做正确的事情)，而TLS负责加密。传统上，TCP和TLS/SSL被认为有太多的开销，这就是为什么人们在过去回避它的原因。但对于现代网络来说，这是完全可行的。

首先，了解一下RFC 付5425:系统日志的可靠交付和rfc5425: Syslog的传输层安全性(TLS)传输映射。

使用rsyslog可以使用TCP和TLS，请参阅http://www.rsyslog.com/doc/v7-stable/tutorials/tls.html#abstract。