集中擷取 Windows 事件日誌的最佳工具是什麼?
我們收集了大約 100 個 Windows 2003 和 Windows 2008 R2 域控制器,我想開始從中擷取事件日誌數據。許多伺服器非常繁忙並產生大量事件,尤其是我們也想要擷取的安全事件。
我們目前正在使用我們對系統正常執行時間和性能統計感到相當滿意的企業/昂貴的監控解決方案,但事件日誌監控組件並不是那麼好。
如果可能的話,我希望為此目的找到一些快速而骯髒的東西。
舊版答案;未來的更新如下
如果您的環境中已經有一些 Linux/Unix 機器並且對這種格式感到滿意,我建議使用 Syslog。有許多產品可以為您將日誌轉發到系統日誌伺服器。
如果您只是出於法律/合規原因而尋找日誌收集,那麼真的可以。
Splunk是相當流行的日誌工具(我認為它基於 syslog),它可以為您做很多報告。如果您想要內置分析,這是開始評估的好地方。它有一個有限的免費版本,但可以付費打破這些限制。
您還可以使用Nagios來協助您進行日誌管理,尤其是使用一些外掛和 sidecar 應用程序,但我會警告說,設置起來並非易事。
更新: 如果您不害怕編寫腳本,Microsoft Script Center Repository中有很多記錄腳本的範例。(滿足 down-n-dirty 要求……)
2015 年更新: 如果您不使用 Splunk,則應使用 ELK(ElasticSearch、Logstash 和 Kibana)作為您的日誌記錄機制。雖然 F/OSS 類似於 Syslog,但它為您提供了更多功能方面的資訊。至於運輸日誌,您應該使用 NXLog。它處理 Windows 事件日誌,並將它們作為對象發送(可以查看為 JSON,這是它們在 ElasticSearch 中的儲存方式)。雖然每個日誌都稍微大一點,但您不需要編寫冗長、痛苦和脆弱的 RegEx 語句來解析欄位(就像您使用 Syslog 或發送到 ELK 的 syslog 格式的日誌一樣) .