Estou procurando um método que nos permita encaminhar os logs do Log Avançado do IIS para uma fonte de log centralizada via syslog ou algo similar. No momento, podemos executar os logs regulares do IIS com o Snare ; no entanto, ele não funciona da mesma maneira para o Log avançado do IIS.
O caminho do arquivo padrão é diferente para o IIS Advanced Logging (% SystemDrive% \ inetpub \ logs \ AdvancedLogs ) e parece que os nomes dos arquivos são baseados na hora UTC, veja aqui , e não a data e hora local que você pode especificar com log regular. Isso também cria um problema para o desenvolvimento de algum tipo de regra curinga, se quisermos testá-lo com o Snare. Qualquer idéia é bem vinda.
logparser tem a capacidade de inserir no syslog
digite logparser -h -o: syslog
Envolva-se em um arquivo de lote ou script do powershell. Essa é uma opção.
Exemplos:
Envie entradas de erro no log do IIS para um servidor SYSLOG:
LogParser "SELECT TO_TIMESTAMP(date,time), CASE sc-status WHEN 500 THEN
'emerg' ELSE 'err' END AS MySeverity, s-computername AS MyHostname,
cs-uri-stem INTO @myserver FROM <1> WHERE sc-status >= 400" -o:SYSLOG
-severity:$MySeverity -hostName:$MyHostname
Você analisou o Snare para coletar e encaminhar logs para o syslog? Eu não procurei por um tempo, mas, ao mesmo tempo, eles tinham suporte para logs baseados em arquivo (ou seja, pesquisa dos arquivos de log do IIS), bem como suporte direto para IIS e até mesmo Logs de Eventos do Windows.