我们收集了大约100个Windows 2003和Windows 2008 R2域控制器,我想从中开始捕获事件日志数据。 许多服务器非常繁忙,会产生大量事件,特别是我们也想捕获的安全事件。
我们目前正在使用企业/昂贵的监控解决scheme,我们对系统正常运行时间和性能统计非常满意,但是事件日志监控组件并不是那么好。
如果可能的话,我希望能为此目的快速find一些东西。
遗产答案; 以下更新
如果您的环境中已经有一些Linux / Unix机器,并且适应这种格式,我build议使用Syslog。 有许多产品会将您的日志转发给系统日志服务器。
如果您只是为了法律/合规性原因而寻找日志收集,那么任何事情都可以。
Splunk是相当stream行的日志工具(我认为它基于syslog),可以为您做很多报告。 如果您需要内置分析function,那么这是一个开始评估的好地方。 它有一个有限的免费版本,但可以支付突破这些限制。
您还可以使用Nagios来协助您进行日志pipe理,特别是使用一些插件和边车应用程序,但是我会警告说,这不是一件容易的事情。
更新:如果您不怕脚本, Microsoft脚本中心存储库中有很多日志脚本示例。 (履行下stream肮脏的要求…)
更新2015年:如果您不使用Splunk,则应该使用ELK(ElasticSearch,Logstash和Kibana)作为日志logging机制。 而像Syslog这样的F / OSS,它给了你更多的function。 至于运输日志,你应该使用NXLog。 它处理Windows事件日志,并将它们作为对象提供(可视为JSON,这是它们如何存储在ElasticSearch中)。 虽然每条日志稍微大一些,但是不需要编写冗长,痛苦和易碎的RegEx语句来parsing这些字段(就像您为了使用Syslog或者发送给ELK的syslog格式的日志一样) 。
SCOM(系统中心运营经理)或anotehr企业工具就是它。 没有其他的。
2008 R2可以将事件转发到另一台服务器,允许中央归档,但这绝对排除了2003年的服务器。
您可能想尝试Splunk来收集和索引所有这些事件。 Splunk提供了一种非常高效的可视化方式,将来自各种input(包括Windows事件日志)的数据关联起来。
又快又脏,你说? 干得好:
phpLogCon可能会帮助你在这里(虽然它更多的是阅读/浏览日志,而不是收集它们)。 我只用过它与rsyslog,但文档说:
数据库可以由Windows端的MonitorWare Agent,WinSyslog或EventReporter以及Unix / Linux端的rsyslog填充。
(这可能是值得研究这些工具。)