Вопросы Теги

Инструменты или стратегия извлечения Rsyslog

Я бы собирал журнал (в частности, auditd, но также и другой журнал системного журнала), созданный несколькими серверами Linux, на централизованном сервере системного журнала, установленном на сервере Linux. стратегия, используемая rsyslog?

0
задан 17 May 2016 в 00:00
2 ответа

Я предполагаю, что вы можете использовать ssh между своими машинами. Возможно, вы можете попробовать туннелировать syslog через ssh

0
ответ дан 5 December 2019 в 10:24

Я бы посоветовал избегать метода «вытягивания», если вы не полностью уверены (или совершенно не заботитесь) о своей безопасности. Если журналы хранятся на локальном хосте (на стороне клиента), злоумышленник может легко вмешаться в них и не только усложнить расследование, но и приведет вас к ложным указаниям.

С учетом сказанного, возможно, лучший способ пойти - переадресовать регистрируется в (push) pipe, а затем удаленно загружает их.

Действия, которые необходимо предпринять ...

1) mkpipe logpipe

2) Перенаправить журналы в pipe ( http: // www. rsyslog.com/doc/v8-stable/configuration/modules/ompipe.html)

3) от клиента: nc -l 12345 0

4) с сервера: nc clientip 12345> / var / log / clientlogs

0
ответ дан 5 December 2019 в 10:24

Теги

Похожие вопросы