Предостережение: я сделаю все возможное, чтобы ответить на этот вопрос, потому что я действительно мало знаю о топи c системных журналов, и для меня это новая топи c.
Моя команда добавляет поддержку системного журнала через Serilog для устаревшего проекта ASP. NET Framework. Я прочитал https://github.com/IonxSolutions/serilog-sinks-syslog, и это единственная документация, которую я нашел в topi c. Я добавил в основную конфигурацию TCP-соединения для syslog (ie. Tcpconfig). Тем не менее, я прочитал в документации раздел под названием «Конфигурация Rsyslog». Я вижу, что предлагаемая конфигурация позволяет некоторым системам удаленно читать соединения RCF2452. Однако у меня есть вопросы об этой конфигурации и RSyslog в целом.
1) Эта конфигурация rsyslog находится на сервере, к которому я подключаюсь (который является сервером SIEM) из моего приложения, или это конфигурация на сервере который содержит мое приложение, которое регистрирует системный журнал?
2) Наши серверы - Windows IIS-сервера; не на UNIX основе. В документации сказано, что rsyslog необходимо настроить в файле /etc/rsyslog.conf. Я думал, что / et c только в UNIX серверах, а не в Windows. Есть ли Windows эквивалент?
3) Нужно ли вообще это настраивать для Windows серверов?
4) Будет ли эта конфигурация частью моей системы, или я могу добавить его в мое решение, чтобы я мог держать его под контролем исходного кода?
5) Дополнительный вопрос: есть ли дополнительная документация о топи c syslog и rsyslog (особенно в отношении конфигурации Serilog), которую вы можете указать мне?