ほとんどのホストでsyslogデータを受信するために、集中型syslogサーバー(rsyslogdを実行するRHEL 7)を設定しました。私たちのセキュリティチームもデータを受け取りたいです。セキュリティログサーバーに送信されたのと同じデータを使用してsyslogサーバーへの接続を複製したくありません。 1,000を超えるホストで変更を最小限に抑えるために、すべてのホストから受信したデータをセキュリティログアナライザに転送するsyslogサーバー構成を探しています。
ベストアンサー1
/etc/rsyslog.conf既存のセントラルログサーバー(RHEL-7)で、ファイルに次の行を追加します。
*.* @X.X.X.X:514
*.* @@X.X.X.X:514
ここで、XXXXはセキュリティチーム内の新しいログサーバーのホスト名またはIPアドレスです。単一@記号はUDPを表し、二重記号は宛先ポートである@@TCPを表します。514ログの場合、UDP が優先される転送方法です。最後に、既存のサーバーでrsyslogを再起動します。
$ sudo systemctl restart rsyslog
次に、新しいsyslogサーバー(セキュリティチーム)に移動し、ログを許可するように設定します。ファイルを編集し/etc/rsyslog.conf、次の2行のコメントを削除します。
$ModLoad imudp
$UDPServerRun 514
その後、rsyslog サービスを再起動します。
$ sudo systemctl restart rsyslog
次に、ファイアウォール例外にrsyslogを追加します。
$ sudo firewall-cmd --permanent --add-port=514/tcp
$ sudo firewall-cmd --permanet --add-port=514/udp
$ sudo firewall-cmd --reload
RHEL-7セントラルログサーバーは、1000を超えるホストからログを受信し続け、同時にすべてのログをセキュリティチームが常駐する新しいサーバーに転送します。
一度動作すると、使用を検討することができます。SSLを使用したrsyslog機密保持のため