我想将事件日志从 Windows 导出到非 Windows 主机。我考虑使用 Logstash,但这似乎要求我在每台服务器上安装并运行 Logstash。是否可以在不在所有服务器上运行它的情况下执行此操作?
我希望能够整合来自不同服务器的所有信息,以使搜索和报告变得更加容易。
如果没有,您会推荐什么最佳方式来实时导出到非 Windows 主机?
答案1
因此,假设您的所有服务器都是 Windows 2008 R2 或更高版本,您可以使用事件日志转发将所有事件日志转发到中央服务器,然后使用 Logstach(或其他任何方式 - 如果您每天的日志少于 500MB,我自己喜欢 Splunk)从该中央服务器获取这些日志。
答案2
您可以尝试使用 Eventlog-to-Syslog 导出器,例如这并在中央日志主机上启用远程日志记录。例如,在现代发行版中,可以rsyslog通过以下方式启用 /etc/rsyslog.conf
$ModLoad imudp
$UDPServerRun 514
从那里,管理日志的选项是无穷无尽的:graylog2/logstash、splunk、php-syslog-ng 或许多其他解决方案(谷歌是你的朋友!)