У меня есть приложение, которое регистрирует данные приложения в ротацию файлов журнала. Есть несколько серверов, которые ведут собственное ведение журнала, и я хотел бы как-то объединить их в центральное хранилище данных.
Как это обычно делается в Windows? Как часто сервис-агрегатор должен делать свое дело?
Если вы имеете в виду собственно средство журнала событий Windows, есть встроенная возможность создавать подписки и назначать определенные машины в качестве сборщиков. Подписки могут быть push или pull и используют синтаксис XQuery / XPath.
Если вы хотите пересылать другие типы данных, вы можете изучить Snare или какой-либо другой механизм журналирования Windows. Snare существует всегда, есть агенты и серверы, и его исходный код открыт:
http://www.intersectalliance.com/projects/index.html
Если это не журнал событий Windows, вас может заинтересовать агент Windows «Эпилог».
Частота зависит от требований и доступных сетевых ресурсов. Если все находится в локальной сети, сетевые ресурсы не так важны. Что касается встроенной переадресации событий Windows, я бы не собирал события чаще, чем за 30 минут, если только это не требуется для срочной безопасности или финансовых целей. Обычно, если журнал событий не был пролонгирован, события не будут пропущены. Snare - это другой зверь. Я не уверен в возможностях планирования или регулирования. Наши агенты ловушки используются для ретрансляции информации аудита безопасности, поэтому они постоянно передают данные системного журнала обратно сборщикам. Системный журнал обычно является протоколом UDP, поэтому он может быть не таким надежным, как подсистема событий Windows для сообщений аудита безопасности Windows.