Итак, у меня есть несколько серверов, которые я хотел бы регистрировать централизованно, но, очевидно, я не хочу небезопасно передавать данные через Интернет.
Я пробовал syslog-ng, но не могу заставить его работать безопасным способом, нормальный ssh -L PORT:localhost:PORT user@hostSSH-туннель не будет работать, потому что я считаю, что журналы выглядят так, как будто они приходят с локальной машины, а VPN кажется чем-то вроде избыточного ,
Ответы:
Вы пробовали syslog-ng и stunnel?
НОТА:
Stunnel ( http://www.stunnel.org ) - это программа, которая позволяет шифровать произвольные TCP-соединения внутри SSL (Secure Sockets Layer), доступные как в Unix, так и в Windows. Stunnel может позволить вам защитить демоны и протоколы, не поддерживающие SSL (например, POP, IMAP, LDAP и т. Д.), С помощью Stunnel, обеспечивающего шифрование, не требующее изменений в коде демона.
Краткий ответ: VPN
Это может показаться излишним, но это правильный ответ, и его не так сложно настроить.
Rsyslog может сделать это. Шифрование трафика системного журнала с помощью TLS
Вы также можете воспользоваться бесплатным защищенным туннелем Kiwi http://www.solarwinds.com/products/kiwi_syslog_server/related_tools.aspx
Используйте syslog-ng или другой демон syslog, который поддерживает TCP.
Отправьте данные по зашифрованному туннелю. Не используйте ssh-туннель, это слишком неудобно.
UDP syslog - это исторический протокол, который был поврежден, и его давно следовало устранить. Если ваш поставщик предоставляет его по умолчанию, пожалуйста, опирайтесь на них.
Если ваш поставщик не предоставляет решения для системного журнала, которое подписывает каждое сообщение перед отправкой, положитесь на них.
Программное обеспечение легко, алгоритмы просты. Политика установки по умолчанию - нет.
Во-первых, я бы не стал отправлять данные журнала через Интернет, а установил бы централизованный хост-хост в местах, где это необходимо.
В настоящее время я предпочитаю rsyslog, а не syslog-ng. Это почти полная замена и содержит множество статей и инструкций, в том числе по отправке зашифрованных данных с помощью TLS / SSL (начиная с версии 3.19.0), более старые версии все еще могут использовать stunnel .
По моему опыту работы с rsyslog и syslog-ng, rsyslog выигрывает в простоте конфигурирования, тем более что вы можете использовать свой существующий syslog.conf и добавить к нему.
Во всяком случае, Rsyslog является демоном syslog по умолчанию в Debian Lenny (5.0), Ubuntu и Fedora .
Я использую rsyslog с TLS. Есть некоторые подготовительные работы вне области: разверните локальный ЦС, добавьте сертификат ЦС на каждый хост, сгенерируйте отдельные сертификаты для каждого хоста. (теперь все ваши хосты могут общаться друг с другом)
Мне также нужно было установить rsyslog-gnutls:
sudo apt-get install rsyslog-gnutls
Я также ограничил исходящее соединение системного журнала (tcp 514), чтобы мои хосты могли подключаться только к моему серверу rsyslog, и создал входящий белый список на стороне сервера rsyslog, чтобы могли подключаться только мои хосты.
в /etc/rsyslog.conf
# make gtls driver the default
$DefaultNetstreamDriver gtls
# certificate files
$DefaultNetstreamDriverCAFile /etc/my_keys/internal_CA.crt
$DefaultNetstreamDriverCertFile /etc/my_keys/my_hostname.crt
$DefaultNetstreamDriverKeyFile /etc/my_keys/my_hostname.key
$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer my_syslog_server.com
$ActionSendStreamDriverMode 1 # run driver in TLS-only mode
*.* @@my_syslog_server.com:514 # forward everything to remote server
Похоже, конфигурация для syslog-ng еще проще. (хотя я не пробовал это) syslog-ng /etc/syslog-ng/conf.d/99-graylog2.conf
destination remote-server {
tcp ("my_syslog_server.com" port(514)
tls(ca_dir("/etc/my_keys/"))
);
};