У нас есть коллекция из около 100 контроллеров домена Windows 2003 и Windows 2008 R2, с которых я хотел бы начать сбор данных журнала событий. Многие серверы очень загружены и генерируют большие объемы событий, особенно событий безопасности, которые мы также хотим фиксировать.
В настоящее время мы используем дорогое решение для корпоративного мониторинга, которым мы достаточно довольны для статистики работоспособности системы и производительности, но компонент мониторинга журнала событий не так хорош.
Я надеюсь найти что-нибудь быстрое и грязное для этой цели, если возможно.
Устаревший ответ; Обновления из будущего ниже
Если в вашей среде уже есть несколько компьютеров с Linux / Unix и они знакомы с этим форматом, я бы рекомендовал использовать Syslog. Существует ряд продуктов, которые будут пересылать ваши журналы на сервер системного журнала за вас.
Если вы просто ищете сбор журналов по причинам, связанным с законом / соответствием требованиям, подойдет все, что угодно.
Splunk - довольно популярный инструмент ведения журнала (я думаю, он основан на системном журнале), который может делать за вас множество отчетов. Если вам нужна встроенная аналитика, это хорошее место для начала оценки. У него есть ограниченная бесплатная версия, но можно заплатить за нарушение этих ограничений.
Вы также можете использовать Nagios чтобы помочь вам в управлении журналами, особенно с некоторыми плагинами и сопутствующими приложениями, но я предупреждаю, что это нетривиально настроить.
ОБНОВИТЬ: Если вы не боитесь скриптов, есть много примеров Сценарии ведения журнала на Репозиторий Microsoft Script Center. (Выполнение требования down-n-dirty ...)
ОБНОВЛЕНИЕ 2015: Если вы не используете Splunk, вам следует использовать ELK (ElasticSearch, Logstash и Kibana) в качестве механизма ведения журнала. Хотя F / OSS похож на Syslog, он дает гораздо больше возможностей. Что касается журналов доставки, вам следует использовать NXLog. Он обрабатывает журналы событий Windows и отправляет их как объекты (их можно просматривать как JSON, как они хранятся в ElasticSearch). Хотя каждый журнал немного больше по сети, вам не нужно писать длинные, болезненные и хрупкие операторы RegEx для анализа полей (как вы это делаете, чтобы использовать Syslog или журналы в формате syslog, отправленные в ELK) .
SCOM (System Center Operations Manager) или другой корпоративный инструмент - это просто так. Ничего больше.
2008 R2 может перенаправлять события на другой сервер прямо из коробки, обеспечивая централизованное архивирование, но это определенно исключает серверы 2003 года.
Вы можете попробовать Splunk для сбора и индексации всех этих событий. Splunk предоставляет очень эффективный способ визуализации и сопоставления данных из различных входов, включая журналы событий Windows.
Вы говорите, быстро и грязно? Ну вот:
phpLogCon может вам здесь помочь (хотя это больше касается чтения / просмотра журналов, чем их сбора). Я когда-либо использовал его только с rsyslog, но в документации сказано:
База данных может быть заполнена агентом MonitorWare, WinSyslog или EventReporter на стороне Windows и rsyslog на стороне Unix / Linux.
(Возможно, стоит изучить эти инструменты.)