在 Windows Server 中管理日誌文件

我有一個在 Windows Server 上執行的 Web 應用程序（一些 2003，一些 2008）。

我想記錄系統事件（例如，來自 IP 地址 X 的某人通過遠端桌面成功遠端登錄到這台電腦，或者係統使用者 Bob 添加了文件 abc.exe 或更改了文件 log.txt 的權限）

兩個問題

1. 正如我在 Windows Server 2003/2008 中所述，人們通常如何記錄這些系統事件？
2. 假設我有幾個不同的伺服器，並且我還在應用程序層完成了應用程序特定的日誌記錄（可能還有其他事情，如負載平衡器日誌等），我現在被多個伺服器上的幾個不同的日誌文件（可能是不同的格式）困住了. 人們使用什麼工具/方法來管理這些數據？

1. 系統事件被記錄到 Windows 事件日誌中。要記錄文件訪問和操作，您可能需要啟用審計。
2. 您可能應該使用諸如 snare agent 或類似工具來設置集中式日誌記錄。還有splunk。

引用自：https://serverfault.com/questions/339485