Log de eventos de partição por origem

Navegue suas respostas
1

Existe alguma maneira de limitar o impacto de um source em um log no log de eventos do Windows?

i.e. a maioria dos sistemas informa eventos no log de eventos application . Um sistema é particularmente vocal quando há um problema, registrando milhares de erros em poucos segundos, à medida que ele repete continuamente e falha certas ações, sem pausa entre as tentativas. Isso significa que não apenas o log de eventos do sistema ofensivo retorna alguns minutos, mas todo o log application fica inundado, perdendo informações úteis de outros sistemas no mesmo servidor.

Eu não posso fazer nada sobre o sistema ofensivo (curto de desativá-lo), mas existe alguma maneira de:

  • limita o número de registros mantidos por um único source ; ou seja, para que não seja possível preencher todo o log
  • mova este source para um% diferentelog; para que o aplicativo acredite que está reportando problemas para o mesmo lugar, mas com eles agora sendo isolados em outro lugar?
  • faz mais alguma coisa para proteger meus registros desse ofensor?

Eu tentei simplesmente recriar a fonte em um log diferente (consulte PowerShell abaixo), mas sem alegria (o novo log é exibido, mas o aplicativo parece poder continuar a se reportar ao log antigo): 

Remove-EventLog -Source 'OffendingAppSource'
New-EventLog -Source 'OffendingAppSource' -LogName 'OffendingAppLog'
    
por JohnLBevan 01.11.2017 / 16:21

1 resposta

0

Is there any way to limit the impact of one source on a log for Windows Event Log?

Posso pensar em quatro coisas que você pode fazer para limitar o impacto:

  1. O sistema é codificado para gravar neste log. Isso não vai mudar sem acesso ao código-fonte. Entre em contato com o criador / fornecedor do sistema para solicitar que eles gravem em um log customizado apenas para esse aplicativo.
  2. Você pode alterar a frequência dos eventos de falha criando uma tarefa acionada por evento. Faça sua tarefa disparar o evento que está inundando o log e execute um script personalizado para parar o serviço e executar algumas verificações de integridade antes de reiniciar o serviço quando tudo estiver em bom estado. Dessa forma, você tem algum controle sobre com que frequência o sistema está registrando eventos de falha.
  3. Aumente o tamanho do arquivo de log do aplicativo e configure o log para backup automático em vez de substituir os eventos.
  4. Configure o encaminhamento de eventos do Windows para um coletor de eventos e suprima os eventos dessa origem do aplicativo na assinatura do evento. Isso é ótimo para obter todos os eventos do servidor em um local central para revisão ou ingestão em um SIEM (como o Splunk).
por 02.11.2017 / 15:46

Tags

Posso usar variáveis no bloco do servidor Nginx para o arquivo SSL Cert e Key? Amazon RDS da AWS - SQL Server, dimensionamento mais flexível