У меня есть требование проанализировать 13 ГБ журналов Windows, загрузив их в агрегатор журналов LogLogic. LogLogic - это, по сути, сервер системного журнала Linux, он может принимать канал системного журнала (Tcp / udp 514) или входить в общую папку Windows и извлекать журнал плоских файлов. Единственная проблема заключается в том, что он не может читать двоичные файлы .EVT из журналов событий Windows.
Обычно я бы использовал Лассо для завершения журналов в loglogic как syslog, но он должен читать журналы из WMI и использовать библиотеки DLL на хосте источника журналов для их форматирования и передачи их как syslog в форматировании, которое ожидает LogLogic.
Кто-нибудь знает:
A. Есть ли какой-нибудь продукт для этого?
B. Есть ли способ импортировать их в окно событий Windows таким образом, чтобы лассо (или ловушка, если на то пошло) воспринимало их как реальные журналы событий на этом хосте и перенаправляло их на логическое устройство как системный журнал.
Я использую это http://code.google.com/p/eventlog-to-syslog/ а затем с моего сервера системного журнала я использую splunk для его просмотра.
Найден Log Parser 2.2 из Windows, который преобразует в текст.
Я не знаю, помогает ли SNARE, я не знаю, действует ли он на файлы EVT, но я знаю, что он работает на живых машинах: