Una de las «reglas básicas»… no dejes los logs en las máquinas locales, si alguien entra y los borra (que lo hará) estás jodido…
La solución es rápida y sencilla, móntate un linux con el syslog escuchando (rsyslogd con la opción -c3),.
Rsyslog te permite poner reglas para diferenciar las máquinas de las que recibes logs y guardarlos en diferentes ficheros, si tienes muchas máquinas, es algo que se agradece.
Las reglas son del tipo:
:fromhost, isequal, «xx.xx.xx.xx» -/var/log/milinux.log -> para mover cualquier entrada que reciba de xx.xx.xx.xx (ojo con la resolución de nombres).
:fromhost, isequal, «xx.xx.xx.xx» ~ -> Para borrar la entrada (que se ha movido previamente). Si no lo pones duplicas la entrada.
Todo esto en /etc/rsyslogd.conf, añades, reinicias y listo…
Abre el puerto 514 udp en el firewall y toca las siguientes reglas en el smartdefense para dejarlo pasar.
Block Non-standard source ports no se porque… pero a veces haciendo forward desde máquinas windows sale este error y corta el paquete.
, el error que aparece en el log es bastante descriptivo (cosas rara, pero de agradecer). «The source port of a syslog message is no UDP/514».
Block Message Length Violations: Este no hace falta deshabilitarlo (yo no suelo deshabilitarlos, los pongo en modo monitor), pero si hay que subir el tamaño de paquete (a mí con 1024 me funciona).
Apply Malicious Code Protection (MCP) for syslog::Pues eso, si no lo desactivas no hay forma.,
Una vez abiertos los puertos puedes empezar a meter logs, para hacerlo tienes que añadir la línea (/etc/rsyslogd.conf).
*.* (o el trozo de log que quieras mover) @ipdelservidordelogs (esto para mandarlos usando udp)
*.* @@xx.xx.xx.xx:puerto para mandarlos por TCP
Reinicias el syslog (/etc/init.d/rsyslog restart) y deberias empezar a ver los paquetes pasar de uno a otro.
También puedes mover los logs de máquinas windows, yo suelo usar Ossec y Snare for windows.
Mas información:
https://www.thegeekdiary.com/configuring-remote-logging-using-rsyslog-in-centos-rhel/