我需要通过将13gb的Windows日志提供给LogLogic日志聚合器来分析13gb日志。 LogLogic本质上是Linux Syslog服务器,它可以采用Syslog(Tcp / udp 514)提要或login到Windows共享并提取平面文件日志。 唯一的问题是它不能从Windows事件日志读取二进制.EVT文件。
通常情况下,我会使用套索将日志作为系统日志结束到loglogic,但是它必须从WMI读取日志,并使用日志源主机上的DLL对其进行格式化,并将其作为系统日志以LogLogic预期的格式传输。
有人知道吗:
答:是否有某种产品可以做到这一点?
B.是否有某种方法可以将套接字导入到Windows事件监视器中,或者将套接字视为实际的事件日志,然后将其作为syslog转发给loglogic设备。
从Windows发现日志分析器2.2将转换为文本。
我正在使用这个http://code.google.com/p/eventlog-to-syslog/ ,然后从我的系统日志服务器使用splunk来浏览它。
我不知道SNARE是否有任何帮助,我不知道它是否作用于EVT文件,但我知道它适用于现场机器:
圈套