我有一个需求,需要将 13GB 的 Windows 日志输入 LogLogic 日志聚合器进行分析。LogLogic 本质上是 Linux Syslog 服务器,它可以接收 Syslog (Tcp/udp 514) 馈送或登录到 Windows 共享并提取平面文件日志。唯一的问题是它无法从 Windows 事件日志中读取二进制 .EVT 文件。
通常情况下,我会使用套索将日志作为 syslog 结束到 loglogic,但它必须从 WMI 读取日志并使用日志源主机上的 DLL 来格式化它们,并以 LogLogic 期望的格式将它们作为 syslog 传输。
有人知道吗:
A. 有没有什么产品可以做到这一点?
- 或者 -
B. 是否有某种方法可以将它们导入 Windows 事件查看器,以便 lasso(或 snare)将它们视为该主机上的实际真实事件日志,并将它们作为 syslog 转发到 loglogic 设备。
答案1
在 Windows 中找到了可以转换为文本的 Log Parser 2.2。
答案2
我正在用这个http://code.google.com/p/eventlog-to-syslog/然后我从我的系统日志服务器使用 splunk 来浏览它。
答案3
我不知道 SNARE 是否有帮助,我不知道它是否对 EVT 文件起作用,但我知道它可以在实时机器上运行: