Windows-Server-2008
在 Windows Server 中管理日誌文件
我有一個在 Windows Server 上執行的 Web 應用程序(一些 2003,一些 2008)。
我想記錄系統事件(例如,來自 IP 地址 X 的某人通過遠端桌面成功遠端登錄到這台電腦,或者係統使用者 Bob 添加了文件 abc.exe 或更改了文件 log.txt 的權限)
兩個問題
- 正如我在 Windows Server 2003/2008 中所述,人們通常如何記錄這些系統事件?
- 假設我有幾個不同的伺服器,並且我還在應用程序層完成了應用程序特定的日誌記錄(可能還有其他事情,如負載平衡器日誌等),我現在被多個伺服器上的幾個不同的日誌文件(可能是不同的格式)困住了. 人們使用什麼工具/方法來管理這些數據?
- 系統事件被記錄到 Windows 事件日誌中。要記錄文件訪問和操作,您可能需要啟用審計。
- 您可能應該使用諸如 snare agent 或類似工具來設置集中式日誌記錄。還有splunk。