我有一个在 Windows Server(一些 2003,一些 2008)上运行的 Web 应用程序。
我想记录系统事件(例如,来自 IP 地址 X 的某人通过远程桌面成功远程登录到此计算机,或者系统用户 Bob 添加了文件 abc.exe 或更改了文件 log.txt 的权限)
两个问题
正如我在 Windows Server 2003/2008 中所描述的,人们通常如何记录这些系统事件?
假设我有几个不同的服务器,并且我在应用程序层还进行了应用程序特定的日志记录(可能还有其他内容,如负载平衡器日志等),我现在被困在多个服务器上的几个不同的日志文件(可能格式不同)。人们使用什么工具/方法来管理这些数据?
答案1
- 系统事件记录到 Windows 事件日志中。要记录文件访问和操作,您可能需要启用审计。
- 您可能应该使用 snare agent 或类似工具来设置集中日志记录。还有 splunk。