從 rsyslog 轉發數據

我們設置了一個集中式系統日誌伺服器（執行 rsyslogd 的 RHEL 7），它接收來自我們大多數主機的系統日誌數據。我們的安全團隊也希望接收數據。我不希望將相同的數據複製到系統日誌伺服器的連接到安全的日誌伺服器。我正在尋找一個 syslog 伺服器配置，它只會將它從所有主機接收到的數據傳遞到 Security 的日誌分析器，以最大限度地減少 1,000 多台主機上的更改。

在現有的中央日誌伺服器 (RHEL-7) 中，將以下行附加到/etc/rsyslog.conf文件中

*.* @X.X.X.X:514
*.* @@X.X.X.X:514

其中 XXXX 是駐留在安全團隊中的新日誌伺服器的主機名或 IP 地址。單@符號表示UDP，雙@@符號表示TCP，514是目的埠。就日誌而言，UDP 是首選的傳遞方法。最後在現有伺服器上重新啟動 rsyslog。

$ sudo systemctl restart rsyslog

然後跳轉到新的系統日誌伺服器（安全團隊）並將其配置為接受日誌：編輯文件/etc/rsyslog.conf並取消註釋以下兩行：

$ModLoad imudp 
$UDPServerRun 514

然後重啟rsyslog服務

$ sudo systemctl restart rsyslog

然後將 rsyslog 添加到防火牆例外

$ sudo firewall-cmd --permanent --add-port=514/tcp
$ sudo firewall-cmd --permanet --add-port=514/udp
$ sudo firewall-cmd --reload

RHEL-7 中央日誌伺服器將繼續接收來自 1000 多台主機的日誌，同時將所有日誌中繼到駐留在安全團隊中的新伺服器。

一旦它工作，那麼你可以考慮使用帶有 SSL的 rsyslog 來保證機密性

引用自：https://unix.stackexchange.com/questions/632874