Многоуровневый вход сервера

Вы можете сделать это с любым из современных серверов syslog (я рекомендую syslog-ng , потому что я знаком с ним, но rsyslog ] - другой вариант).
Практически каждая система каким-то образом поддерживает системный журнал (каждый профессиональный маршрутизатор / коммутатор, с которым я работал, делает это, машины Unix поддерживают, и я считаю, что Windows может даже отправлять сообщения журнала событий на серверы системного журнала), что делает его довольно хорошим вариантом .

Протокол syslog традиционно представляет собой незащищенные дейтаграммы UDP, но современные серверы syslog поддерживают TCP, и я знаю, что syslog-ng также поддерживает SSL / TLS.

Что касается того, как вы собираете журнал данных, стратегии реализации различаются.

Один из вариантов - просто разрешить всем вашим хостам подключаться к серверу системного журнала и заставить их отправлять туда свои сообщения журнала. Это относительно просто, но потенциально менее безопасно (вам нужно пробить много дыр в брандмауэре или позволить всей вселенной взаимодействовать с вашим сервером журналов).

Другой вариант - локальные агрегаторы журналов, которые перенаправляют на центральный сервер журналов (аналогично архитектуре, которую вы описываете в своем вопросе). Обычно это считается лучшим вариантом по двум основным причинам:

• Это проще защитить
  Центральному серверу журнала нужно только принимать соединения от "авторизованных" клиентов, а локальным серверам журнала нужно только принимать соединения от их локальная сеть.

• Он предлагает вам некоторую избыточность.
  Если центральный сервер журналов отключен для обслуживания, вы все еще собираете журналы на локальных серверах, и они могут быть отправлены вместе, когда центральный сервер снова станет доступным.