Каков лучший инструмент для к получению Windows Event Logs централизованно?
Очевидный ответ должен установить Samba, чтобы заставить сервер Linux быть "Главным контроллером домена" или PDC. Более длинный ответ (который я не сомневаюсь, что кто-то безуспешно пытается записать даже сейчас) действительно не подходит для этого формата, и я действительно предпочел бы, чтобы кто-то желающий сделать это чтение фактическое руководство - не слишком много для выяснения я думал.
Ответ прежней версии; Обновления от будущего ниже
Если бы уже имеют некоторые машины Linux/Unix в Вашей среде и довольны тем форматом, я рекомендовал бы использовать Системный журнал. Существует много продуктов, которые передадут Ваши журналы серверу системного журнала для Вас.
Если Вы будете просто искать набор журнала по легальным причинам / причинам соответствия, то что-либо сделает, действительно.
Splunk является довольно популярным инструментом журнала (я думаю, что он основан на системном журнале), который может сделать большое создание отчетов для Вас. Если Вы хотите встроенную аналитику, это - хорошее место, чтобы начать оценивать. Это имеет ограниченную бесплатную версию, но может заплатить для убегания из тех ограничений.
Можно также использовать Nagios для помощи Вам с Вашим управлением Журналом, особенно с некоторыми плагинами и приложениями расширения за счет внешних устройств, но я буду предупреждать, что это не тривиально для установки.
ОБНОВЛЕНИЕ: Если Вы не боитесь сценариев, существует много примеров Регистрирующихся Сценариев в Microsoft Script Center Repository. (Выполнение down-n-dirty требования...)
ОБНОВЛЕНИЕ 2015: Если Вы не используете Splunk, необходимо использовать ЛОСЯ (ElasticSearch, Logstash, & Kibana) в качестве механизма входа. В то время как F/OSS как Системный журнал, это дает Вам настолько более мудрый функцией. До поставки журналов необходимо использовать NXLog. Это обрабатывает Windows Event Logs и поставляет их как объекты (видимый как JSON, который является, как они хранятся в ElasticSearch). В то время как каждый журнал немного больше по проводу, Вы не должны писать, длинные, болезненные, и хрупкие операторы RegEx для парсинга полей (как Вы делают для использования Системного журнала или отформатированных системным журналом журналов, отправленных ЛОСЮ).
-
1Существует несколько хороших FOSS также, таких как EVTSYS, разработанный Пердью: code.google.com/p/eventlog-to-syslog – gravyface 14 September 2010 в 15:33
-
2Хороший, GravyFace! +1 Вам – gWaldo 14 September 2010 в 15:53
-
3я принял этого, потому что я на самом деле хотел бы вытащить некоторое значение IT из этой вещи. Splunk стоит там, таким образом, я проверю его. – duffbeer703 14 September 2010 в 19:30
SCOM (System Center Менеджер операций) или anotehr инструмент предприятия просто является этим. Ничто иное.
R2 2008 года может передать события к другому серверу из поля, позволив центральную архивацию, но это исключает определенно серверы 2003.
-
1, я думаю, что мы будем идти в направлении SCOM через следующие несколько лет. К сожалению, мы наследовали большой домен единственной маркировки, который не совместим. – duffbeer703 14 September 2010 в 15:24
phpLogCon мог бы помочь Вам здесь (хотя это больше о чтении/просмотре журналов, чем сбор их). Я только когда-либо использовал его с rsyslog, но в документации говорится:
База данных может быть заполнена Агентом MonitorWare, WinSyslog или EventReporter на стороне Windows и rsyslog на стороне Unix/Linux.
(Вероятно, стоило бы изучить эти инструменты.)