duf*_*703 3 windows-server-2003 windows-server-2008 logging windows-event-log
我们收集了大约 100 个 Windows 2003 和 Windows 2008 R2 域控制器,我想从中开始捕获事件日志数据。许多服务器非常繁忙,会生成大量事件,尤其是我们也想捕获的安全事件。
我们目前正在使用企业/昂贵的监控解决方案,我们对系统正常运行时间和性能统计数据相当满意,但事件日志监控组件不太好。
如果可能的话,我希望为此目的找到一些快速而肮脏的东西。
遗留答案;下面的未来更新
如果您的环境中已经有一些 Linux/Unix 机器并且对这种格式感到满意,我建议使用 Syslog。有许多产品可以将您的日志转发到系统日志服务器。
如果您只是出于法律/合规性原因寻找日志收集,那么真的可以。
Splunk是相当流行的日志工具(我认为它基于 syslog),可以为您做很多报告。如果您想要内置分析,这是开始评估的好地方。它有一个有限的免费版本,但可以付费打破这些限制。
您还可以使用Nagios来帮助您进行日志管理,尤其是一些插件和 sidecar 应用程序,但我会警告说,设置起来并不简单。
更新: 如果你不害怕脚本的,也有很多的例子记录脚本在Microsoft脚本中心存储库。(满足down-n-dirty的要求......)
2015 年更新: 如果您不使用 Splunk,您应该使用 ELK(ElasticSearch、Logstash 和 Kibana)作为您的日志记录机制。虽然 F/OSS 像 Syslog,但它为您提供了更多的功能。至于传送日志,您应该使用 NXLog。它处理 Windows 事件日志,并将它们作为对象(可查看为 JSON,这是它们在 ElasticSearch 中存储的方式)发送。虽然每个日志在网络上都稍大,但您不需要编写冗长、痛苦和脆弱的 RegEx 语句来解析字段(就像您为了使用 Syslog 或发送到 ELK 的 syslog 格式的日志所做的那样) .
| 归档时间: |
|
| 查看次数: |
16651 次 |
| 最近记录: |