Назад | Перейти на главную страницу

Возможность пересылки журналов для продуктов Microsoft

Это может быть дубликат, так как я ловлю информацию, так как я не настолько разбираюсь в входе в Windows. Я знаю, что в Unix вы можете отправлять системные журналы через ретранслятор и RFC 5424. Я также знаю, что вы пересылаете журналы событий Windows с подпиской на события внутри домена.

Но возьмем пример для следующих продуктов.

Microsoft Biztalk, Microft Exchange, сервер интеграции хоста Microsft, сервер Sql, IIS и MS Forefront. Все они регистрируются, но меня больше интересует информация об аудите.

Я думаю, я спрашиваю, записывает ли каждый продукт Microsoft журнал событий в журнал событий или можно ли его настроить для этого. Какая лучшая практика в отношении этого.

Боб.

Большинство продуктов Microsoft не настроены на автоматический экспорт журналов. Я потратил много времени на это - серверы 2008 / Vista и выше предоставляют способ пересылки журналов событий Windows между серверами. Мой предпочтительный метод - через Snare / Epilog

После правильной настройки эти продукты позволят подавляющему большинству продуктов Microsoft писать на центральный сервер системного журнала.

Примечание. Многие продукты Microsoft записывают данные в журнал событий, но многие другие также записывают только в стандартные текстовые файлы. Эпилог подбирает текстовые журналы. Snare собирает журналы событий Windows.

Другой вариант - создать сценарий для периодической копии этих текстовых журналов на стороннем сервере.

Я предпочитаю единый интерфейс одному серверу. В моей среде мы регистрируем все наши события в Splunk используя бесплатную лицензию. Вы также можете посмотреть на малый барабан или пару альтернатив.