Среда: Windows Server 2008 R2 с доменом Samba 3.5 и серверной частью OpenLDAP.
Предыстория: на нашем предыдущем сервере терминалов (Windows Server 2003) мы использовали сценарии входа и выхода для регистрации входа и выхода пользователей соответственно в текстовые файлы на сетевом диске. К сожалению, нам не удалось захватить удаленный IP-адрес, только имя рабочей станции.
Теперь, когда мы переходим на Server 2008, мы обнаружили, что журнал событий фиксирует огромное количество данных, включая удаленный IP-адрес, но, похоже, нет простого способа получить данные, которые мы хотим, в формат, который мы хотим.
Есть несколько ресурсов, которые могут стать шагом в правильном направлении:
У меня вопрос: могу ли я получить какой-то экспорт событий в реальном времени в удобочитаемой форме (и как), или я выполняю периодический синтаксический анализ с помощью запланированной задачи (и как)?
Мне кажется, что если вам действительно нужны данные в реальном времени, вы можете сделать намного хуже, тогда вернитесь к сценариям входа / выхода. Если вам нужен IP-адрес клиентской машины и вы получаете только имя машины, почему бы просто не выполнить nslookup на нем в скрипте? В зависимости от языка сценариев, который вы используете, может даже быть встроенная функция для поиска.
Я уверен, что у многих других будут другие идеи, но если вы действительно хотите проанализировать журналы событий, по той или иной причине Perl не только имеет модули, его трудно превзойти в обработке данных. Если вы пойдете по этому пути, независимо от того, какой язык вы выберете для использования, я предлагаю вам отправлять интересующие вас данные в базу данных, откуда ими гораздо легче управлять, искать и т. Д. Опять же, Perl упрощает это.