Rsyslog

Para enviar con certificados esta sería la configuración cliente:

$template boxunix,"<%PRI%>%timegenerated% %HOSTNAME% box.unix.%syslogtag%%msg%"

# certificate files - just CA for a client
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/ca.crt
$DefaultNetstreamDriverCertFile /etc/rsyslog.d/ardemans.crt # User public key
$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/ardemans.key # User private key

# set up the action
$DefaultNetstreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS for the connection
$ActionSendStreamDriverAuthMode x509/name # server is NOT authenticated
$ActionSendStreamDriverPermittedPeer collector

*.* @@eu.public.relay.logtrust.net:8770;boxunix

Algunos problemas que he encontrado, los ficheros de certificados han de poder ser leidos por el usuario que arranca el servicio rsyslog, generalmente el usuario syslog

El fichero de CA para el cliente puede ser la CA en si o se puede especificar una cadena, lo que no se si al poner una cadana coje los dos certificados os solo el primero que encuentra

El orden de los ficheros de configuración que se cargan en el /etc/syslog.d/ es importante, por lo general siempre existe el fichero 50-default.conf que tiene las configuraciones generales.