В процессе планирования предстоящего развертывания структуры AD с одним лесом, пустым корневым доменом верхнего уровня и двумя дочерними доменами, в которых будут размещены два бизнес-подразделения. В каждом бизнес-подразделении есть 30 удаленных площадок и головной офис. При выборе настройки аудита для нескольких элементов количество журналов безопасности в сети будет очень быстро расти.
Исходя из приведенных деталей, мой вопрос: Какие инструменты есть у поставщиков Microsoft (и других сторонних производителей) для упрощения сбора и интерпретации журналов? Если есть, бесплатное, платное или и то, и другое?
Любая помощь приветствуется.
Microsoft дает вам приседания бесплатно. Вы можете получить SCOM, текущую версию MOM. У них есть часть, посвященная аудиту журналов. Есть и другие коммерческие продукты. Вы можете создать свой собственный с NTSysLog и сервером системного журнала, работающим на коммерческой или бесплатной основе в Linux или Windows. Какой у вас бюджет?
Второй вопрос - какова ваша настоящая цель аудита? Вы говорите «сбор и интерпретация», так что это звучит так, будто вы ожидаете, что кто-то либо проведет некоторое время с этими журналами, либо отреагирует на основе предупреждений. Можете ли вы конкретизировать, каким будет запланированное использование?