Как я могу искать журналы IIS нескольких серверов одновременно?
Каждый пакет программного обеспечения, который я использовал, был уже перечислен, но я просто хотел поднять точку о Вашем втором запросе:
Вы действительно хотите быть отправленными по электронной почте каждый раз, когда Вы поражены автоматизированным нападением?
Любое время Вы настраиваете что-то, чтобы уведомить Вас немедленно по электронной почте или SMS, задать себе два вопроса:
Что я могу сделать в ответ на это уведомление, и когда привычка я делаю это? Если Вы ответите тот же путь каждый раз, когда необходимо, вероятно, использовать триггерную систему как Fail2Ban (помещающий в черный список дюйм/с для неудавшихся логинов автоматически). Если Вы никогда не будете сразу отвечать на уведомление, то это, вероятно, лучше или как ежедневное электронное письмо обзора или просто как журнал в системе предупреждений где-нибудь.
Поддержите соотношение сигнал/шум на высоком уровне в любом виде основанной на предупреждении системы. Если Вы получаете 5-10 электронных писем в день, сообщая о некотором приземленном 'нападении', о котором Вы ничего не делаете, намного легче позволить чему-то важный промах через трещины.
Два ответа: централизация журналов или удаленные команды .
См. Сбор и анализ журнала событий Windows Server для первый и выполните поиск Powershell для второго (пример: Powershell Remoting: Как запустить команду на нескольких машинах с отдельными параметрами? )
один ответ logparser.exe http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=24659
также хорошим помощником является анализатор визуального журнала. http://visuallogparser.codeplex.com/
Примеры http://technet.microsoft.com/en-us/library/ee692659.aspx
Дополнительные примеры http://blogs.msdn.com/b/carloc/archive/2008/02/06/logparser-scripts-for-various-occasions.aspx
Еще несколько примеров Рекомендуемые запросы LogParser для мониторинга IIS?
Вы имеете в виду журналы W3C, а не журналы событий, верно?
LogParser поддерживает использование нескольких файлов журналов в качестве входных данных (т.е. * .log работает в предложении FROM), так что это просто вопрос консолидации файлов журналов (или обеспечения их доступности), что обычно довольно тривиально для сценария.
Когда вы начинаете нуждаться в перекрестной корреляции журналов между серверами, вам действительно стоит обратить внимание на центральный сервер журналов, такой как Splunk . Хотя это возможно сделать с другими продуктами, такими как анализатор журналов, grep и т. Д., Большинство из них, как вы обнаружили, разработаны для одного файла.