У нас есть центральный сервер системного журнала, который мы используем для сбора всех журналов с наших хостов, и недавно получили SIEM, который мы также хотим собирать.
Мы хотел бы, чтобы центральный сервер системного журнала дублировал журналы в SIEM без изменения исходного IP-адреса / исходного Mac. Не перенаправлять, поскольку тогда у нас не было бы журнала на сервере системного журнала. Таким образом, конечным результатом будет то, что мы отправим журналы на центральный сервер системного журнала, и у нас будет журнал на нашем сервере центрального системного журнала и в SIEM с IP-адреса ресурса, который отправил его на центральный сервер системного журнала.
Причины мы хотим это сделать.
Я пытался сделать это с помощью iptables, но могу только перенаправить журналы вместо отправки дублирующего журнала.
] Можно ли это сделать с помощью таблиц IP или любого другого приложения. Я открыт для любых рекомендаций.
Вы можете попробовать цель iptables TEE, но у нее есть ограничение: пункт назначения, в который копируется пакет, должен находиться в том же сегменте уровня 2.
С справочной страницы:
Цель TEE клонирует пакет и перенаправляет этот клон на другой машина в сегменте локальной сети. Другими словами, следующий переход должен быть целью, или вам придется настроить nexthop для пересылки дальше при желании.
Например, на сервере, который получает журналы, вы можете сделать следующее:
iptables -t mangle -A PREROUTING -p udp --dport 514 -j TEE --gateway 192.168.87.203
Это отправит копию UDP-пакета с исходным исходным адресом на заданный IP-адрес шлюза.