Это может быть дубликат, так как я ловлю информацию, так как я не настолько разбираюсь в входе в Windows. Я знаю, что в Unix вы можете отправлять системные журналы через ретранслятор и RFC 5424. Я также знаю, что вы пересылаете журналы событий Windows с подпиской на события внутри домена.
Но возьмем пример для следующих продуктов.
Microsoft Biztalk, Microft Exchange, сервер интеграции хоста Microsft, сервер Sql, IIS и MS Forefront. Все они регистрируются, но меня больше интересует информация об аудите.
Я думаю, я спрашиваю, записывает ли каждый продукт Microsoft журнал событий в журнал событий или можно ли его настроить для этого. Какая лучшая практика в отношении этого.
Боб.
Большинство продуктов Microsoft не настроены на автоматический экспорт журналов. Я потратил много времени на это - серверы 2008 / Vista и выше предоставляют способ пересылки журналов событий Windows между серверами. Мой предпочтительный метод - через Snare / Epilog
После правильной настройки эти продукты позволят подавляющему большинству продуктов Microsoft писать на центральный сервер системного журнала.
Примечание. Многие продукты Microsoft записывают данные в журнал событий, но многие другие также записывают только в стандартные текстовые файлы. Эпилог подбирает текстовые журналы. Snare собирает журналы событий Windows.
Другой вариант - создать сценарий для периодической копии этих текстовых журналов на стороннем сервере.
Я предпочитаю единый интерфейс одному серверу. В моей среде мы регистрируем все наши события в Splunk используя бесплатную лицензию. Вы также можете посмотреть на малый барабан или пару альтернатив.