Я ищу метод, который позволил бы нам пересылать журналы расширенного ведения журнала IIS в централизованный источник журнала через системный журнал или что-то подобное. В настоящее время мы можем выполнить это для обычных журналов IIS с помощью Ловушка; однако для расширенного ведения журнала IIS это не работает.
В путь к файлу по умолчанию отличается для расширенного ведения журнала IIS (% SystemDrive% \ inetpub \ журналы \ AdvancedLogs) и похоже, что имена файлов основаны на времени UTC, посмотреть здесь, а не местная дата и время, которые можно указать при регулярном ведении журнала. Это также создает проблемы для разработки некоторого типа правила подстановки, если мы хотим проверить это с помощью Snare. Любые идеи приветствуются.
logparser имеет возможность вставлять в системный журнал
введите logparser -h -o: syslog
Оберните в пакетный файл или сценарий PowerShell. Это один из вариантов.
Примеры:
Отправьте записи об ошибках в журнале IIS на сервер SYSLOG:
LogParser "SELECT TO_TIMESTAMP(date,time), CASE sc-status WHEN 500 THEN
'emerg' ELSE 'err' END AS MySeverity, s-computername AS MyHostname,
cs-uri-stem INTO @myserver FROM <1> WHERE sc-status >= 400" -o:SYSLOG
-severity:$MySeverity -hostName:$MyHostname
Вы смотрели на Ловушка для сбора и пересылки логов в syslog? Я давно не искал, но когда-то у них была поддержка журналов на основе файлов (т.е. опрос файлов журналов IIS), а также прямая поддержка IIS и даже журналов событий Windows.