Решение, которое я делаю для большинства своих клиентов, является этим: Сервер ShadowProtect резервирует сервер с единственным полным резервным копированием, сопровождаемым возрастающими резервными копиями каждые 15 минут. 1 резервное копирование VSS выполнено в день, который усекает журналы. Основа и возрастающие резервные копии копируются удаленные. Ontrack используется для любых детализированных восстановлений уровня (отдельные почтовые ящики и такой). Это имеет тонны преимуществ. Это - основанное на изображении резервное копирование, таким образом, полные восстановления к разнородному оборудованию легки. Это - резервное копирование блочного уровня, таким образом, incrementals не поднимают все так много дискового пространства. У меня есть изменения в изобилии для выбора из для восстановлений. У меня есть удаленные копии для общих аварий. Кроме того, в повышении резервные копии shadowprotect могут быть преобразованы в диски VM и виртуализированы.
Если вы имеете в виду собственно средство журнала событий Windows, есть встроенная возможность для создания подписок и назначения определенных машин в качестве сборщиков. Подписки могут быть push или pull и используют синтаксис XQuery / XPath.
Если вы хотите пересылать другие типы данных, вы можете изучить Snare или какой-либо другой механизм журналирования Windows. Snare существует всегда, есть агенты и серверы, и его исходный код открыт:
http://www.intersectalliance.com/projects/index.html
Если это не журнал событий Windows, вы можете быть Интересует Windows-агент "Эпилог".
Частота зависит от требований и доступных сетевых ресурсов. Если все находится в локальной сети, сетевые ресурсы не так важны. Для встроенной пересылки событий Windows Я бы не собирал события чаще, чем 30 минут, за исключением случаев, когда это необходимо для срочной безопасности или финансовых целей. Обычно, если журнал событий не был пролонгирован, события не будут пропущены. Snare - это другой зверь. Я не уверен в возможностях планирования или регулирования. Наши агенты ловушки используются для ретрансляции информации аудита безопасности, поэтому они постоянно передают данные системного журнала обратно сборщикам. Системный журнал обычно является протоколом UDP, поэтому он может быть не таким надежным, как подсистема событий Windows для сообщений аудита безопасности Windows.
поэтому они постоянно передают данные системного журнала обратно сборщикам. Системный журнал обычно является протоколом UDP, поэтому он может быть не таким надежным, как подсистема событий Windows для сообщений аудита безопасности Windows. поэтому они постоянно передают данные системного журнала обратно сборщикам. Системный журнал обычно является протоколом UDP, поэтому он может быть не таким надежным, как подсистема событий Windows для сообщений аудита безопасности Windows.