我们如何配置 openshift 和 kubernetes 以将应用程序日志发送到第三方系统，例如 siem

Question

我想通过使用 Red Hat OpenShift 中的 syslog 协议将特定项目中的所有应用程序日志发送到 siem 环境，以便在 siem 上存储监管日志并在 siem 上创建警报规则。我也想了解如何在 Kubernetes 上完成。我发现 OpenShift 有一个管道机制可以满足这种需求，但它在项目级别不起作用。

• logs.app - 由运行的用户应用程序生成的容器日志 集群，基础设施容器应用除外。

如果我使用这种方法将所有日志发送到 siem，这种配置将导致不必要的工作量和不必要的存储使用。

参考： https://docs.openshift.com/container-platform/4.5/logging/cluster-logging-external.html#cluster-logging-collector-log-forward-configure_cluster-logging-external

问题：

1. 我们如何将项目特定的应用程序日志转发到 OpenShift 的外部系统日志服务器？

2. 我们如何将项目特定的应用程序日志转发到 Kubernetes 的外部系统日志服务器？

3. 如果 Kubernetes 或 OpenShift 的外部日志转发配置存在差异，您能否分享更多详细信息？