Я использую Graylog, развернутый на сервере TrueNAS, и он отлично работает для просмотра источников, назначений, имен хостов и всей прочей информации из syslog, конечно же, используя экстракторы, но всё нормально. Сейчас пытаюсь найти опции для Netflow, но с Unifi это сложно.

Вот в чем я хотел докопаться: с устаревшим syslog нет понятий «правильно» или «неправильно». В этом и проблема, когда хочешь делать с syslog-сообщениями что-то кроме того, чтобы их просто прочитал человек. Именно поэтому и был разработан RFC-5424. К слову, когда сообщение переписывается в формат RFC-5424, его гораздо легче обрабатывать разным системам сбора логов. Если UniFi-контроллер запущен на Linux, скорее всего уже используется rsyslog, ведь он стандартен для многих дистрибутивов. Добавив в конец /etc/rsyslog.conf вот это:

$RuleSet remote  
*.info @@graylog.mydomain.com:514;RSYSLOG_SyslogProtocol23Format  

$ModLoad imudp.so               # включает прием UDP-сообщений syslog  
$InputUDPServerBindRuleset remote  
$UDPServerAddress A.B.C.D  # слушать только основной IP-адрес  
$UDPServerRun 514               # запуск UDP-сервера syslog на стандартном порте 514  

— подставьте вместо A.B.C.D реальный IP-хоста, где работает rsyslogd, а вместо 'graylog.mydomain.com' — реальный адрес или имя хоста коллектора логов (graylog, synology и т. п.). Это effectively настроит rsyslogd как «переписыватель» для устаревших syslog-сообщений, посылаемых по UDP, чтобы они шли в коллектор уже в формате TCP по RFC-5424. Далее этот хост (A.B.C.D) указываете в настройках UniFi контроллера как сервер syslog. По умолчанию rsyslog не слушает удалённые подключения, так что конфликтов быть не должно. Но если у вас уже есть удалённый слушатель, возможен конфликт — можно сменить порт в строке UDPServerRun на другой, и тогда в контроллере надо будет тоже поменять порт. [Правка]: ещё нужно перезапустить rsyslogd, чтобы изменения вступили в силу, например так — sudo systemctl restart rsyslog (для дистрибутивов на systemd).

@waterside

А rsyslog есть в Cloud Key G1 и G2/G2+?  
Если включить эту опцию (см. скриншот ниже) в UniFi Network контроллере или внести изменения через SSH/CLI на Cloud Key G1/G2/G2+, получится ли добиться того же результата?  

TLS — это обязательное условие, если UBNT хочет выйти за пределы домашних пользователей и неконтролируемых клиентов. Сегодня любые регуляции, такие как HIPAA, PCI, FISMA, GLBA, SOX и другие, требуют использование шифрования везде и всюду. Там, где официальных требований нет, клиенты клиентов UBNT всё равно скорее всего потребуют шифрование, если они хоть немного разбираются.

Нет никаких причин, по которым устройства или производители на рынке не поддерживают Syslog через TLS — это уже просто неприемлемо. Я работаю инженером по безопасности мониторинга в компании из Fortune 100 облачного провайдера и каждый день вижу, как клиенты требуют, чтобы syslog-трафик шифровался так же, как и учетные данные.

@geekandi

Ты успел собрать какие-нибудь дашборды? Я отправляю логи в Sumo, но не знаю, как настроить дашборды. Есть ли у тебя какие-то запросы или советы, с чего начать? Спасибо!

Есть мысли по поводу моей «проблемы»? Надеюсь, кто-то ещё сталкивался с таким же.