Qual é a melhor ferramenta para capturar centralmente os Logs de Eventos do Windows?

3

Temos uma coleção de cerca de 100 controladores de domínio do Windows 2003 e do Windows 2008 R2 dos quais gostaria de iniciar a captura dos dados do log de eventos. Muitos dos servidores estão muito ocupados e geram grandes volumes de eventos, principalmente eventos de segurança que também queremos capturar.

Atualmente, estamos usando uma solução de monitoramento corporativa / cara com a qual estamos razoavelmente satisfeitos com as estatísticas de tempo de atividade e desempenho do sistema, mas o componente de monitoramento do log de eventos não é tão bom.

Espero encontrar algo rápido e sujo para esse propósito, se possível.

    
por duffbeer703 14.09.2010 / 14:04

5 respostas

6

Resposta legada; Atualizações do futuro abaixo

Se já tiver algumas máquinas Linux / Unix em seu ambiente e estiver confortável com esse formato, recomendo usar o Syslog. Há vários produtos que encaminharão seus registros para um servidor syslog para você.

Se você está apenas procurando por coleta de registros por motivos legais / de conformidade, qualquer coisa serve, na verdade.

O

Splunk é uma ferramenta de registro bastante popular (acho que é baseada em syslog) que pode gerar muitos relatórios para você. Se você deseja incorporar análises, é um bom lugar para começar a avaliar. Tem uma versão gratuita limitada, mas pode pagar para sair dessas limitações.

Você também pode usar o Nagios para ajudá-lo com o seu Gerenciamento de registros, especialmente com alguns dos plugins e aplicativos sidecar, mas eu vou avisar que não é trivial configurar.

ATUALIZAÇÃO: Se você não tem medo de scripts, há muitos exemplos de Registrando Scripts no Repositório do Microsoft Script Center . (Cumprindo o requisito de baixo-n-sujo ...)

ATUALIZAÇÃO 2015: Se você não estiver usando o Splunk, você deve usar o ELK (ElasticSearch, Logstash, & Kibana) como seu mecanismo de registro. Enquanto o F / OSS, como o Syslog, oferece muito mais funcionalidades. Quanto aos registros de envio, você deve usar o NXLog. Ele lida com os Logs de Eventos do Windows e os envia como objetos (visíveis como JSON, que é como eles são armazenados no ElasticSearch). Embora cada log seja um pouco maior, você não precisa escrever declarações RegEx longas, dolorosas e frágeis para analisar os campos (como você faz para usar o Syslog ou logs formatados por syslog enviados para o ELK) .

    
por 14.09.2010 / 14:21
4

O SCOM (System Center Operations Manager) ou uma ferramenta empresarial única é apenas isso. Nada mais.

O 2008 R2 pode encaminhar eventos para outro servidor pronto para uso, permitindo o arquivamento central, mas isso exclui definitivamente os servidores de 2003.

    
por 14.09.2010 / 14:21
3

Você pode tentar Splunk coletar e indexar todos esses eventos. O Splunk fornece uma maneira muito eficiente de visualizar, correlacionar dados de várias entradas, incluindo os Logs de Eventos do Windows.

    
por 14.09.2010 / 14:20
1

Rápido e sujo, você diz? Aqui vai:

link

    
por 14.09.2010 / 14:26
1
O

phpLogCon pode ajudá-lo aqui (embora seja mais sobre ler / navegar nos registros do que colecioná-los). Eu só usei isso com o rsyslog, mas a documentação diz:

The database can be populated by MonitorWare Agent, WinSyslog or EventReporter on the Windows side and by rsyslog on the Unix/Linux side.

(provavelmente valeria a pena investigar essas ferramentas.)

    
por 14.09.2010 / 15:08