这可能是重复的,因为我正在寻找信息,因为我对 Windows 上的日志记录不太熟悉。我知道在 Unix 上你可以通过中继和 RFC 5424 发送系统日志。我还知道你使用域内的事件订阅转发 Windows 事件日志。
但举个例子,对于以下产品。
Microsoft Biztalk、Microft Exchange、Microsft Host Integration Server、Sql Server、IIS 和 MS Forefront。它们都记录日志,但我对审计信息更感兴趣。
我想问的是,每个微软产品都会记录到事件日志吗,或者是否可以设置这样做。关于这方面的最佳实践是什么。
鲍勃。
答案1
大多数 Microsoft 产品都没有设置为自动导出日志。我花了很多时间处理这个问题 - Server 2008 / Vista 及更高版本提供了一种在服务器之间转发 Windows 事件日志的方法。我首选的方法是通过小鼓/尾声
一旦正确配置,这些产品将允许绝大多数 Microsoft 产品写入中央 Syslog 服务器。
注意 - 微软的许多产品都会写入事件日志,但更多的产品也只写入基于标准文本的文件。Epilog 会选择基于文本的日志。Snare 会选择 Windows 事件日志。
您的另一个选择是编写脚本,定期将这些基于文本的日志复制到第三方服务器。
我自己更喜欢统一的界面而不是单一的服务器。在我的环境中,我们将所有事件记录到Splunk使用免费许可证。您还可以查看 Snare 或其他几种替代方案。