Назад | Перейти на главную страницу

Пересылка событий журнала Windows с использованием TCP

Я ищу способ безопасно централизовать все мои журналы Windows и Linux в одном месте. Так как я нахожусь в смешанной среде, как с Linux, так и с Windows, я начал использовать Syslog-ng для Linux и Snare для Windows, и все это указывало на syslog-ng в Linux.

Играя с системой, я понял, что любой сетевой сбой приведет к потере события Windows (Snare использует только udp с syslog), поэтому я попробовал WinAgents с теми же результатами.

Я попытался переключиться на Kiwi Syslog Server и попробовал использовать Syslog и протокол SNMP на WinAgents с тем же результатом.

Поскольку и Kiwi, и Syslog-ng могут прослушивать TCP-порты, должен быть какой-то клиент системного журнала Windows, использующий tcp, верно? Есть ли у кого-нибудь опыт работы с такими клиентами?

Большое спасибо

Изменить: я пробовал Centreon E2S, который поддерживает как UDP, так и TCP, но, похоже, не отправляет сообщение повторно при сбое сети

Взгляни на nxlog, он также поддерживает TCP и SSL. Он с открытым исходным кодом и работает как в Linux, так и в Windows.

Вам придется выложить немного денег, но в "премиум-версии" syslog-ng есть агент Windows (посмотреть здесь)

Я не использовал его, но похоже Adiscon Event Reporter приложение сделает то, что вы ищете.

Мы используем LogZilla (http://www.logzilla.pro) с нашими окнами. Системы Windows используют Snare для пересылки журналов на наш сервер LogZilla. Нам это нравится, потому что он молниеносно быстр для поиска и диаграмм (и мы регистрируем более 100 миллионов событий в день), к тому же он стоит WAYYYY меньше, чем Clunk (splunk), а пользовательский интерфейс достаточно прост для использования нашими менеджерами, лол.

Я получил его, используя киви в комбинации с STunnel.

  • Настройте kiwi для пересылки с использованием Http на определенный порт на localhost
  • Установите stunnel для прослушивания этого порта и перенаправления на ваш сервер системного журнала

Конфигурация stunnel будет примерно такой:

[Syslogs]
client = yes
accept = 127.0.0.1:1234
connect = 1.2.3.4:5678

где 1.2.3.4:5678 - это ip: порт вашего сервера системного журнала (а kiwi будет перенаправлять на localhost: 1234).

Тем не менее, все еще ищу замену Kiwi / SolarWindsLogForwarder для Windows ... Он должен отправлять Http вместо UDP для правильной работы с stunnel.