Я искал средство просмотра журналов, которое понимает сообщения системного журнала, особенно в формате RFC 5424 (включая элементы структурированных данных), и в идеале позволяет осуществлять мониторинг в реальном времени (tail вроде) и фильтрация / поиск.
Средства просмотра и средства анализа, которые я пробовал, либо не понимают протокол, либо проглатывают или игнорируют элементы структурированных данных.
LogAnalyzer, например, похоже, понимает основной синтаксис системного журнала и правильно декодирует серьезность и возможности, но его формат базы данных не включает структурированные данные. Splunk, с другой стороны, похоже, вообще не анализирует его, а вместо этого распознает общие значения, разделенные пробелами, и пары ключ-значение во всем сообщении. Сюда входят структурированные данные, но серьезность / возможность не декодируются.
Я надеюсь найти что-то, что работает в Windows или в Интернете. Такое существует? После установки пробных версий различных инструментов с результатами поиска примерно на 3 страницы, я готов заплатить, но бесплатно, конечно, было бы неплохо :)