Windows 日志文件聚合器

Question

如果您指的是 Windows 事件日志工具本身，则它具有创建订阅和指定特定机器作为收集器的内置功能。订阅可以是推送或拉取的，并使用 XQuery/XPath 语法。

如果您想要转发其他类型的数据，您可能需要研究 Snare 或其他 Windows 日志机制。Snare 一直存在，有代理和服务器，并且是开源的：
http://www.intersectalliance.com/projects/index.html

如果它不是 Windows 事件日志，您可能会对“Epilog”Windows 代理感兴趣。

频率取决于需求和可用的网络资源。如果一切都在本地 LAN 上，网络资源就不那么重要了。对于内置的 Windows 事件转发，我不会以超过 30 分钟的频率收集事件，除非是出于紧急的安全或财务目的。通常，如果事件日志没有翻转，则不会错过事件。Snare 是另一种野兽。我不确定调度或节流功能。我们的 Snare 代理用于中继安全审计信息，因此它们不断将系统日志数据流回收集器。系统日志通常是 UDP，因此对于 Windows 安全审计消息，这可能不如 Windows 事件子系统那么可靠。

Answer 1

如果您指的是 Windows 事件日志工具本身，则它具有创建订阅和指定特定机器作为收集器的内置功能。订阅可以是推送或拉取的，并使用 XQuery/XPath 语法。

如果您想要转发其他类型的数据，您可能需要研究 Snare 或其他 Windows 日志机制。Snare 一直存在，有代理和服务器，并且是开源的：
http://www.intersectalliance.com/projects/index.html

如果它不是 Windows 事件日志，您可能会对“Epilog”Windows 代理感兴趣。

频率取决于需求和可用的网络资源。如果一切都在本地 LAN 上，网络资源就不那么重要了。对于内置的 Windows 事件转发，我不会以超过 30 分钟的频率收集事件，除非是出于紧急的安全或财务目的。通常，如果事件日志没有翻转，则不会错过事件。Snare 是另一种野兽。我不确定调度或节流功能。我们的 Snare 代理用于中继安全审计信息，因此它们不断将系统日志数据流回收集器。系统日志通常是 UDP，因此对于 Windows 安全审计消息，这可能不如 Windows 事件子系统那么可靠。

Windows 日志文件聚合器

答案1

相关内容