Я ищу винду ПО для анализа и мониторинга журналов событий для Windows Server 2000/2003 (в Windows Server 2008 появилось несколько новых функций). Набор функций должен включать:
Любые рекомендации или советы, как реализовать это с помощью стандартных инструментов?
Спасибо!
Я бы посоветовал вам использовать OSSEC. Он может собирать всю информацию на одном сервере и имеет приятный веб-интерфейс, который позволяет отображать предупреждения.
Ядро Зеносса ...
Я использую набор собственных скриптов Perl. Они делают несколько вещей, но основная из них просматривает журналы событий каждого из серверов, извлекает предупреждения и ошибки за последние 24 часа, создает электронную таблицу Excel с результатами и помещает ее в папку, которую я проверяю каждое утро. Таким образом я получаю интересные фрагменты в удобном для чтения формате.
В настоящее время я рассматриваю практичность интеграции мониторинга журнала событий с Nagios. При правильном типе фильтров игнорирования (например, меня действительно не волнует, что задание печати завершилось неудачно), я должен получать только те предупреждения, которые необходимо изучить. Это изрядная работа для настройки, но мне нужно сделать это только один раз, и это облегчит мою работу в долгосрочной перспективе. Как вариант, я могу еще раз взглянуть на Зеносса.
Я могу рекомендовать НЕ использовать диспетчер событий GFI. Это огромная пропускная способность (многократно передает целые журналы по сети), и если у вас есть удаленные сайты t1, это большое дело. Кроме того, он нестабильный, поэтому требует слишком много ухода для того, что должно быть простым решением.
У SecureWorks есть решение, которое мы попробуем. Выглядит неплохо.
Splunk (www.splunk.com)
Трекер событий http://www.prismmicrosys.com/eventTracker.php