대부분의 호스트에서 syslog 데이터를 수신하기 위해 중앙 집중식 syslog 서버(rsyslogd를 실행하는 RHEL 7)를 설정했습니다. 우리 보안팀도 데이터 수신을 원합니다. 보안 로그 서버로 전송된 동일한 데이터를 사용하여 syslog 서버에 대한 연결을 복제하고 싶지 않습니다. 1,000개 이상의 호스트에서 변경 사항을 최소화하기 위해 모든 호스트에서 받은 데이터를 보안 로그 분석기로 전달하는 syslog 서버 구성을 찾고 있습니다.
답변1
/etc/rsyslog.conf기존 중앙 로그 서버(RHEL-7)에서 파일 에 다음 줄을 추가합니다.
*.* @X.X.X.X:514
*.* @@X.X.X.X:514
여기서 XXXX는 보안 팀 내에 있는 새 로그 서버의 호스트 이름 또는 IP 주소입니다. 단일 @기호는 UDP를 나타내고 이중 기호 는 대상 포트인 @@TCP를 나타냅니다 . 514로그의 경우 UDP가 선호되는 전달 방법입니다. 마지막으로 기존 서버에서 rsyslog를 다시 시작합니다.
$ sudo systemctl restart rsyslog
그런 다음 새 syslog 서버(보안 팀)로 이동하여 로그를 허용하도록 구성합니다. 파일을 편집 /etc/rsyslog.conf하고 다음 두 줄의 주석 처리를 제거합니다.
$ModLoad imudp
$UDPServerRun 514
그런 다음 rsyslog 서비스를 다시 시작하십시오.
$ sudo systemctl restart rsyslog
그런 다음 방화벽 예외에 rsyslog를 추가하십시오.
$ sudo firewall-cmd --permanent --add-port=514/tcp
$ sudo firewall-cmd --permanet --add-port=514/udp
$ sudo firewall-cmd --reload
RHEL-7 중앙 로그 서버는 1000개가 넘는 호스트로부터 로그를 계속 수신하는 동시에 모든 로그를 보안팀이 상주하는 새 서버로 전달합니다.
일단 작동하면 사용을 고려할 수 있습니다.SSL을 사용한 rsyslog기밀 유지를 위해