Use LogParser para extrair dados dos logs de eventos do Windows (entre muitas fontes) e replicá-los em um banco de dados. Se executado em um agendamento, ele pode atualizar o banco de dados com novos eventos.
Neste momento, tenho eventos sendo encaminhados para um coletor no qual eu, então, executo um script para retirá-los dos logs de eventos do coletor como xml e, em seguida, inseri-los em um banco de dados.
Existe algum utilitário que conheça o protocolo de encaminhamento de eventos do Windows nativo que possa receber eventos encaminhados recebidos e inseri-los diretamente em um banco de dados? Estou surpreso por não ter visto nenhum produto que faça isso ainda.
Eu estava procurando na API , mas não parece que ele fornece uma maneira de alterar a fonte de dados para algo como um banco de dados sql em vez do log de eventos do Windows.
Use LogParser para extrair dados dos logs de eventos do Windows (entre muitas fontes) e replicá-los em um banco de dados. Se executado em um agendamento, ele pode atualizar o banco de dados com novos eventos.
O desempenho de tal projeto não aumentaria bem. Pode funcionar em ambientes pequenos / médios.
O Coletor de Eventos do Windows foi projetado para fazer exatamente isso - dimensionar em um nível massivo. Um único servidor de coletor pode coletar centenas ou milhares de computadores, 10 GB ou até 100 GB por dia.
Em hardware comparável, uma abordagem de recebimento de assinantes em um servidor SQL não chegaria nem perto de corresponder ao desempenho do Coletor de Eventos do Windows. E uma abordagem de envio de assinantes em um servidor SQL - mesmo com índices mínimos seria nivelada como coiote wile muito antes de alcançar qualquer coisa que um coletor de eventos do Windows pudesse fazer.
E você não gostaria de competir com as inserções, portanto, em grandes ambientes, um banco de dados de relatórios para consultas pode ser necessário, especialmente se você tiver muitas tabelas relacionadas ou carregá-las com índices. Então, em escala, a solução não seria capaz de competir em desempenho ou custo.
Há uma incompatibilidade de impedância significativa no desempenho entre o Coletor de Eventos e o SQL Server. É por isso que o Colecionador de Eventos é um bom ajuste como intermediário de transformação. Os aplicativos / scripts de transformação que lêem o log de Eventos encaminhados são baratos e fáceis de compilar, portanto, não há justificativa comercial (material verde) para eliminá-los. O servidor SQL precisaria apenas de um único banco de dados - não há necessidade de um banco de dados de relatórios e poderia ter uma capacidade modesta, porque a transformação poderia ser executada em grandes lotes com impacto mínimo no servidor de banco de dados.
Você pode fazer isso com syslog-ng , que tem programa de software para máquinas Windows .
Um syslog-ng server pode armazenar seus logs em um banco de dados , tanto relacional quanto < a não-relacional .
Tags windows-event-log