при создании SIEM я должен отправить журналы или получить их от собирающейся машины?
Я работаю в среде Linux, я хотел бы собрать все журналы от пула машины на уникальной машине X. Существует несколько файлов журнала, которые я должен переместить, и я не уверен в способе, которым я должен сделать это.
Если я заставляю машины время от времени отправлять журналы в определенный контроль того, я настроил бы крон на каждой машине, которая создает копию журналов, и отправьте его scp.
Или если я настраиваю контролирующую машину, чтобы пойти и получить файлы журналов, которые подразумевали бы, что я создал определенного пользователя "регистратор" на каждой машине, с которой X соединится с scp (регистратор имел бы права чтения на журналах, в которых я нуждаюсь).
Я не знаю, сколько машин я буду иметь в своем объединении, таким образом, оно сможет пойти от 1 до 99 999 машин. Путь файлов журналов может отличаться от машины до другого. Безопасность важна в моем случае, я не хочу, чтобы кто-то еще смог прервать или считать журналы.
Я хотел бы, чтобы процесс был самым простым как возможный и не пользовался библиотекой, ни другим программным обеспечением, если это возможно.
Если вы создадите такое приложение, предложите вашим пользователям оба пути.
Если серверу необходимо активно отправлять файлы журнала, то вашему пользователю необходимо установить какой-то агент на своем контролируемом сервере. . В некоторых средах это может не приветствоваться.
Если вы извлекаете файлы журнала, дальнейшая установка на серверах не требуется, за исключением предоставления им доступа к файлам журнала.
Так что предложите и то, и другое вашим клиентам, и пусть они сами решат.
OSSEC делает то, что вы хотите, и, вероятно, избавит вас от необходимости изобретать велосипед заново.
Если вы действительно не хотите использовать дополнительное программное обеспечение, по крайней мере, получите посмотрите на их модель, как они аутентифицируют своих клиентов, и где и почему они доверяют выходным данным обработанных журналов.