Какой сказанный Nikolaidis, хотя Вы могли просто выполнить это 3-е поле как свой сервер Splunk и установить хост Системного журнала каждого веб-сервера, он - IP.
Что касается транзита, надо надеяться, Splunk поддерживает TCP/TLS (и Ваши серверы делают также, хотя Вы могли выполнить rSyslog локально на них; я знаю для того, что это делает), и можно отправить журналы, зашифрованные по (более надежному) TCP и TLS к центральному серверу Splunk, чем простой текст UDP.
Я также рекомендовал бы пакетной фильтрации на Сервере Системного журнала только позволить соединения от Ваших двух веб-серверов.
Да, ты можешь.
В разделе «Пул приложений»> «Расширенные настройки»> «Повторное использование» установите для параметра «Отключить повторное использование для изменений конфигурации» значение «Истина».