在对 Windows 机器进行故障排除时,是否还有其他人经常需要将多个日志源(例如事件日志或各种日志文件)与性能计数器关联起来?
例如,我们曾遇到过内存和 CPU 性能周期性达到峰值的情况,后来才意识到这是因为一个索引服务正在远程访问服务器上的数据。我们通过查看安全事件日志并查看在性能峰值期间来自该索引服务帐户的大量登录事件来确定这一点。
我们花了一段时间才做到这一点,所以我想知道是否有一种工具可以自动将性能计数器偏差与当时出现的日志关联起来?我知道有很多日志分析器,但它们大多似乎面向 SIEM,没有一个具有性能计数器关联功能。
答案1
事件哨兵是一种 SIEM,它本身也包含性能监控功能(任何 Windows 性能计数器),但它不会自动关联性能事件以自动提出根本原因。您可以手动设置(将安全性与性能事件关联) - 但不能自动设置。
可能还有其他解决方案可以做到这一点,但我不知道。您可能需要结合多种工具来实现这一点,而无需手动设置。
话虽如此,即使是自动关联的工具也需要大量的设置和培训工作,而且不能保证它们能够正确地确定原因。
由于这可能不常见,我只需设置性能监控并利用 SIEM 手动确定原因并设置将来的警报(或解决问题)。