Mam więc kilka serwerów, które chciałbym logować centralnie, ale oczywiście nie chcę bezpiecznie przesyłać danych przez Internet.
Próbowałem syslog-ng, ale nie mogę sprawić, by działał w bezpieczny sposób, normalny ssh -L PORT:localhost:PORT user@host
tunel SSH nie będzie działał, ponieważ uważam, że sprawia, że dzienniki wydają się pochodzić z komputera lokalnego, a VPN wydaje się trochę przesadzony .
Krótka odpowiedź: VPN
Może to wydawać się przesadą, ale jest to właściwa odpowiedź i nie jest tak skomplikowana w konfiguracji.
źródło
Rsyslog może to zrobić. Szyfrowanie ruchu Syslog za pomocą TLS
źródło
Możesz także sprawdzić bezpłatny Kiwi Secure Tunnel http://www.solarwinds.com/products/kiwi_syslog_server/related_tools.aspx
źródło
Użyj syslog-ng lub innego demona syslog, który obsługuje TCP.
Wyślij dane zaszyfrowanym tunelem. Nie używaj tunelu ssh, jest to zbyt skomplikowane.
Syslog UDP jest historycznym protokołem uszkodzonym, który powinien był zostać wyeliminowany dawno temu. Jeśli twój dostawca domyślnie to udostępnia, skorzystaj z nich.
Jeśli twój dostawca nie zapewnia rozwiązania syslog, które podpisuje każdą wiadomość przed wysłaniem, oprzyj się na nich.
Oprogramowanie jest łatwe, algorytmy są łatwe. Polityka instalowania go domyślnie nie jest.
źródło
Prawdopodobnie nie wysłałbym danych dziennika przez Internet, ale w razie potrzeby zainstalowałem scentralizowanego hosta dziennika w lokalizacjach.
Obecnie wolę rsyslog niż syslog-ng. Jest to prawie spadek wymiany i zawiera wiele dokumentów i poradników, w tym jeden na temat wysyłania zaszyfrowanych danych za pomocą TLS / SSL (od wersji 3.1.1.0), starsze wersje mogą nadal używać stunnela .
Z mojego doświadczenia zarówno z rsyslog, jak i syslog-ng, rsyslog wygrywa w łatwości konfiguracji, zwłaszcza, że możesz użyć istniejącego syslog.conf i dodać do niego.
Jeśli chodzi o wartość, Rsyslog jest domyślnym demonem syslog w Debian Lenny (5.0), Ubuntu i Fedorze .
źródło
Używam rsyslog z tls. Istnieją pewne prace przygotowawcze poza zakresem: Wdróż lokalny urząd certyfikacji, dodaj certyfikat urzędu certyfikacji do każdego hosta, wygeneruj osobne certyfikaty dla każdego hosta. (teraz wszyscy twoi gospodarze mogą ze sobą rozmawiać ssl)
Musiałem także zainstalować rsyslog-gnutls:
Ograniczyłem również wychodzące połączenie syslog (tcp 514), aby moi gospodarze mogli łączyć się tylko z moim serwerem rsyslog, i utworzyłem przychodzącą białą listę po stronie serwera rsyslog, aby tylko moi gospodarze mogli się łączyć.
w /etc/rsyslog.conf
Wygląda na to, że konfiguracja syslog-ng jest jeszcze łatwiejsza. (chociaż nie próbowałem tego) syslog-ng /etc/syslog-ng/conf.d/99-graylog2.conf
źródło