我们有大约100个
Windows 2003和
Windows 2008 R2域控制器的集合,我想从中开始捕获事件日志数据.许多服务器非常繁忙并且生成大量事件,特别是我们也想要捕获的安全事件.
我们目前正在使用企业/昂贵的监控解决方案,我们对系统正常运行时间和性能统计数据感到满意,但事件日志监控组件并不是那么好.
如果可能的话,我希望能为此目的找到快速而肮脏的东西.
遗产答案;以下更新
原文链接:https://www.f2er.com/windows/366768.html如果您的环境中已经有一些Linux / Unix机器并且对这种格式感到满意,我建议使用Syslog.有许多产品会将您的日志转发到系统日志服务器.
如果您只是出于法律/合规性原因寻找日志收集,那么任何事情都可以.
Splunk是一个相当流行的日志工具(我认为它基于syslog)可以为你做很多报告.如果您想要内置分析,那么这是开始评估的好地方.它有一个有限的免费版本,但可以支付以打破这些限制.
您也可以使用Nagios来帮助您进行日志管理,特别是对于某些插件和边车应用程序,但我会警告说,设置并非易事.
更新:
如果你不害怕编写脚本,Microsoft Script Center Repository上有很多Logging Scripts的例子.(满足了肮脏的要求…)
2015年更新:如果您不使用Splunk,则应使用ELK(ElasticSearch,Logstash和Kibana)作为日志记录机制.虽然像Syslog这样的F / OSS,它可以为您提供更多功能.至于发货日志,您应该使用NXLog.它处理Windows事件日志,并将它们作为对象发送(可以作为JSON查看,这是它们存储在ElasticSearch中的方式).虽然每个日志在线路上稍微大一些,但您不需要编写冗长,痛苦且脆弱的RegEx语句来解析字段(就像您为了使用Syslog或发送到ELK的syslog格式的日志一样) .
