我们拥有大约 100 个 Windows 2003 和 Windows 2008 R2 域控制器,我希望开始从中捕获事件日志数据。许多服务器非常繁忙,会生成大量事件,尤其是我们也想捕获的安全事件。
我们目前正在使用企业/昂贵的监控解决方案,我们对系统正常运行时间和性能统计数据感到相当满意,但事件日志监控组件并不是那么好。
如果可能的话,我希望找到一种快速而又简单的方法来达到这个目的。
答案1
旧答案;来自未来的更新如下
如果您的环境中已经有一些 Linux/Unix 机器并且熟悉该格式,我建议使用 Syslog。有许多产品可以将您的日志转发到 syslog 服务器。
如果您只是出于法律/合规原因而寻求日志收集,那么任何事情都可以。
Splunk是一款相当流行的日志工具(我认为它基于 syslog),可以为您生成大量报告。如果您想要内置分析功能,那么这是一个不错的开始评估工具。它有一个有限制的免费版本,但可以付费以打破这些限制。
您还可以使用纳吉奥斯帮助您进行日志管理,特别是使用一些插件和附加应用程序,但我要提醒的是,设置起来并不简单。
更新: 如果你不害怕编写脚本,有很多例子记录脚本在Microsoft 脚本中心存储库. (满足下流的要求……)
2015年更新: 如果您不使用 Splunk,则应使用 ELK(ElasticSearch、Logstash 和 Kibana)作为日志记录机制。虽然 F/OSS 类似于 Syslog,但它在功能方面为您提供了更多功能。至于发送日志,您应该使用 NXLog。它处理 Windows 事件日志,并将它们作为对象发送(可查看为 JSON,这是它们在 ElasticSearch 中的存储方式)。虽然每个日志在网络上传输时都稍大一些,但您无需编写冗长、繁琐且脆弱的 RegEx 语句来解析字段(就像您为了使用 Syslog 或发送到 ELK 的 syslog 格式的日志所做的那样)。
答案2
SCOM (System Center Operations Manager) 或另一个企业工具就是这样的。仅此而已。
2008 R2 可以将事件转发到另一台服务器,从而实现中央存档,但这肯定排除了 2003 服务器。
答案3
你可能想尝试一下Splunk收集并索引所有这些事件。Splunk 提供了一种非常有效的方法来可视化、关联来自各种输入(包括 Windows 事件日志)的数据。
答案4
phpLogCon可能会对您有所帮助(尽管它更多的是阅读/浏览日志而不是收集日志)。我只将它与 rsyslog 一起使用过,但文档说:
该数据库可由 Windows 端的 MonitorWare Agent、WinSyslog 或 EventReporter 填充,或由 Unix/Linux 端的 rsyslog 填充。
(这些工具可能值得研究。)