rsyslog 记录到具有不同 TLS 配置的多个服务器

Question

是否可以将 rsyslog 日志记录到具有不同 TLS 配置的多个服务器？我们目前正在使用以下方式登录到本地系统日志服务器：

$DefaultNetstreamDriver gtls
$DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.pem
$DefaultNetstreamDriverCertFile /etc/pki/rsyslog/local-cert.pem
$DefaultNetstreamDriverKeyFile /etc/pki/rsyslog/local-key.pem
$ActionSendStreamDriverAuthMode anon
$ActionSendStreamDriverMode 1

*.* @@10.50.59.241:6514

我们现在正在为第三方设置日志记录，并希望在那里也使用 TLS。他们说我们应该像这样设置 rsyslog：

$DefaultNetstreamDriverCAFile /path/to/their/ca.crt
$ActionSendStreamDriver gtls
$ActionSendStreamDriverMode 1
$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer *.theirhost.theirdomain

*.* @@theirhost.theirdomain:6514

我认为我可以简单地将 CA 组合成一个文件并将 DefaultNetstreamDriverCAFile 设置为该文件。但是，如果我只是将剩余的第二组选项添加到我的 rsyslog.conf 的底部，那么允许的对等点会导致与第一台主机发生冲突。那么有什么方法可以配置 rsyslog（我们目前使用的是 7.4.8）以对两个不同的目标使用截然不同的 TLS 设置？

Answer 1

好吧，经过一番头撞后，我自己想通了。首先，在某些版本的 rsyslog 中有一个错误会阻止它工作（您永远不会看到与一个或多个目标服务器建立连接），因此请确保您使用的是 7.6 或更高版本的 rsyslog。

确保您的 CA 文件具有其中列出的所有目标所需的任何 CA。顺序并不重要。那么你的 conf 文件应该是这样的：

$DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.pem

*.* action(type="omfwd"
           protocol="tcp"
           Target="10.50.59.241"
           Port="6514"
           StreamDriverMode="1"
           StreamDriver="gtls"
           StreamDriverAuthMode="anon"
           )

*.* action(type="omfwd"
           Protocol="tcp"
           Target="some.other.host.com"
           Port="6514"
           StreamDriverMode="1"
           StreamDriver="gtls"
           StreamDriverAuthMode="x509/name"
           StreamDriverPermittedPeers="*.some.other.host.com"
           )