Я хочу экспортировать журналы событий из Windows на хост, отличный от Windows. Я рассматривал возможность использования Logstash, но, похоже, для этого мне нужно было установить и запустить Logstash на каждом сервере. Возможно ли это сделать без запуска на всех серверах?
Я надеюсь, что смогу объединить всю информацию с разных серверов, чтобы упростить поиск и составление отчетов.
Если нет, что бы вы посоветовали лучше всего экспортировать на хост, отличный от Windows, в режиме реального времени?
Предполагая, что все ваши серверы работают под управлением Windows 2008 R2 или выше, вы можете использовать Пересылка журнала событий для пересылки всех журналов событий на центральный сервер, затем используйте Logstach (или что-то еще - мне нравится Splunk, если у вас меньше 500 МБ журналов в день), чтобы просто получить журналы с этого одного центрального сервера.
Вы можете попробовать использовать экспортер журнала событий в системный журнал, например этот и включите удаленное ведение журнала на центральном хосте. Это, например, включено в современных дистрибутивах, использующих rsyslog в /etc/rsyslog.conf через
$ModLoad imudp
$UDPServerRun 514
Оттуда варианты управления вашими журналами безграничны: graylog2 / logstash, splunk, php-syslog-ng или ряд других решений (Google - ваш друг!)