Windowsイベントログを一元的にキャプチャするための最良のツールは何ですか?
イベントログデータのキャプチャを開始したい約100のWindows2003およびWindows2008R2ドメインコントローラーのコレクションがあります。サーバーの多くは非常にビジーであり、大量のイベント、特にキャプチャしたいセキュリティイベントを生成します。
現在、システムの稼働時間とパフォーマンスの統計にかなり満足しているエンタープライズ/高価な監視ソリューションを使用していますが、イベントログ監視コンポーネントはそれほど優れていません。
可能であれば、この目的のために素早く汚いものを見つけたいと思っています。
レガシー回答;以下の将来からの更新
ご使用の環境にすでにLinux/Unixマシンがいくつかあり、その形式に慣れている場合は、Syslogを使用することをお勧めします。ログをsyslogサーバーに転送する製品はたくさんあります。
法的な理由やコンプライアンス上の理由でログ収集を探しているだけなら、何でもかまいません。
Splunk はかなり人気のあるログツール(syslogに基づいていると思います)で、多くのレポートを作成できます。分析を組み込みたい場合は、評価を開始するのに適した場所です。無料版には制限がありますが、これらの制限から抜け出すためにお金を払うことができます。
Nagios を使用して、特に一部のプラグインやサイドカーアプリケーションでログ管理を支援することもできますが、設定するのは簡単ではないことを警告します。
UPDATE:スクリプトを恐れていない場合は、 ロギングスクリプト の例がたくさんあります Microsoft Script Centerリポジトリ 。 (down-n-dirty要件を満たす...)
UPDATE 2015:Splunkを使用していない場合は、ログメカニズムとしてELK(ElasticSearch、Logstash、およびKibana)を使用する必要があります。 F/OSSはSyslogに似ていますが、機能面ではるかに優れています。出荷ログに関しては、NXLogを使用する必要があります。 Windowsイベントログを処理し、オブジェクトとして送信します(JSONとして表示できます。これは、ElasticSearchに保存される方法です)。各ログはネットワーク上でわずかに大きくなりますが、フィールドを解析するために長くて苦痛で壊れやすいRegExステートメントを記述する必要はありません(SyslogまたはELKに送信されるsyslog形式のログを利用するために行うように) 。
SCOM(System Center Operations Manager)またはanotherエンタープライズツールはまさにそれです。他には何もありません。
2008 R2は、箱から出してすぐに別のサーバーにイベントを転送できるため、中央アーカイブが可能ですが、2003サーバーは完全に除外されます。
Splunk を試して、これらすべてのイベントを収集してインデックスを作成することをお勧めします。 Splunkは、Windowsイベントログを含むさまざまな入力からのデータを視覚化して相互に関連付ける非常に効率的な方法を提供します。
速くて汚い、あなたは言いますか?どうぞ:
phpLogCon ここで役立つかもしれません(ただし、ログを収集することよりも、ログを読み取ったり閲覧したりすることが重要です)。私はこれまでrsyslogでのみ使用しましたが、ドキュメントには次のように書かれています。
データベースは、Windows側ではMonitorWare Agent、WinSyslog、またはEventReporterによって、Unix/Linux側ではrsyslogによって入力できます。
(おそらく、これらのツールを調べる価値があります。)