дублированный пакет на другой локальный хост (SIEM)

У нас есть центральный сервер системного журнала, который мы используем для сбора всех журналов с наших хостов, и недавно получили SIEM, который мы также хотим собирать.

Мы хотел бы, чтобы центральный сервер системного журнала дублировал журналы в SIEM без изменения исходного IP-адреса / исходного Mac. Не перенаправлять, поскольку тогда у нас не было бы журнала на сервере системного журнала. Таким образом, конечным результатом будет то, что мы отправим журналы на центральный сервер системного журнала, и у нас будет журнал на нашем сервере центрального системного журнала и в SIEM с IP-адреса ресурса, который отправил его на центральный сервер системного журнала.

Причины мы хотим это сделать.

1. Некоторые устройства позволяют нам пересылать журналы только в один системный журнал устройство
2. Настало время настроить все устройства для завершения журналов для обоих.
3. Если мы пересылаем какие-либо журналы с сервера Central Syslog с помощью rsyslog, в зависимости от журнала, источник будет отображаться как сервер Central Syslog, что является кошмаром для корреляции в SIEM. Некоторые журналы не содержат источника, поэтому для этих журналов SIEM предполагает, что устройство, которое перенаправляло журналы, является источником.

Я пытался сделать это с помощью iptables, но могу только перенаправить журналы вместо отправки дублирующего журнала.

] Можно ли это сделать с помощью таблиц IP или любого другого приложения. Я открыт для любых рекомендаций.