syslog の受信側が syslog イベントを発行しているマシンとは別のサーバー上で実行されている場合に接続で問題が発生すると、監査プロセスがイベントを再送します。これにより、イベントが配信されない期間中に、許容できないほどパフォーマンスが低下する可能性があります。
この問題は、監査を実行しているサーバー上でローカル syslog デーモンを実行することで軽減できます。デーモンは、プライマリ syslog 受信側として機能します。また、デーモンを構成して、ファイルにログを記録したり、任意の外部 SIEM にログを記録したりできます (その両方を行うようにすることも可能)。これらのデーモンは、メモリでメッセージをキューに入れ、問題の解決時にメッセージを送信することによって、ネットワークの問題を処理することもできます。これにより、監査サーバーは監査目的で外部ネットワーク接続への依存を最小限に抑えて実行を継続できます。