Windows Server事件日志收集和分析

Splunk是市场上的新宠。这是一种免费模式。单台服务器是免费的，但如果您想将多台服务器的日志关联到一台服务器，则需要付费。

芝诺斯日志聚合器功能不够强大，但还是可以运行，而且 Zenoss 还可以做很多其他事情。Zenoss 也采用类似免费模式运行，但免费版没有任何限制，只是缺少一些功能。

不管怎样，我愿意花钱购买 Splunk。它真的很棒

我使用 SyslogD、snare 和 Splunk 的组合进行日志分析。SNARE 位于 Windows 服务器上，并将事件日志传送到我的中央 syslogd 日志服务器（也是我的 Nagios 服务器）

然后，我使用 Splunk 仅在一台服务器上对它们进行分析，遵守（至少在我看来）服务器许可证。

我已经在我的博客上发布了关于如何做到这一点的半说明服务器的中央系统日志

这也照顾了我的 Pix 和其他可以重定向其日志记录的设备。

以下是有关设置 snare 和 splunk 的一些说明：http://www.splunk.com/base/Documentation/2.1/Admin/Snare

我们有NXLog 社区版在我的公司（我在这里工作）可以收集、解析、转换和发送 Windows EventLog 以及其他 Windows 日志源（Windows DNS、PowerShell、Windows 防火墙等）。如果您正在使用 Rapid7、IBM QRadar 等 SIEM，则可以选择使用 NXLog 作为日志源将事件发送到这些 SIEM 套件。还有与 Splunk、Snare、Graylog、ELK stack 等的集成。