Комментарии 17
Насколько я знаю, у этой штуковины проблемы с кириллицей в логах, или уже пофиксили?
Кириллица в логах? 1С?
Нет… сообщений на русском хватает как в горах самого windows server, так и сторонних сервисов
> С другой стороны существует простая и надежная система syslog
Боюсь вас несколько расстроить, но syslog как таковой использует udp, так что назвать его надежным язык не поворачивается.
Пробовал делать сислог коллектор целиком на основе rsyslog + Splunk, но опять же при переходе на tcp приходиться вносить дополнительные поля в сислог сообщения, чтобы нормально интексировать логи на спланке.
Боюсь вас несколько расстроить, но syslog как таковой использует udp, так что назвать его надежным язык не поворачивается.
Пробовал делать сислог коллектор целиком на основе rsyslog + Splunk, но опять же при переходе на tcp приходиться вносить дополнительные поля в сислог сообщения, чтобы нормально интексировать логи на спланке.
Посмотрите еще на www.intersectalliance.com/snareserver/index.html — хорошая штука. Сейчас на основе нее тоже пишу перловый скрипт для мониторинга действий пользователей на шарах. Если не трудно, поделитесь своим скриптом, ибо в перле я не очень.
Буквально пару месяцев назад тоже «нашел» для себя в куче неадеквата evtsys.
Но у меня почему-то на линукс попадают далеко не все сообщения (выйду из отпуска — подверюсь с Вашей статьёй) — может потому что в настройках rsyslog-а стоит запись в mysql.
Теперь недостатки Вашего решения и evtsys:
1. Сообщения попадают на машину с rsyslog с задержкой (почему — пока не разобрался)
2. Система не защищена от флуда — злоумышленник может «забить» журнал кучей «фейковых» сообщений,
а в случае с UDP-еще и от всех IP в сети
3. Сервис evtsys стартует раньше всех? Если нет то в базу не попадут события, произошедшие ДО старта сервиса.
Взял тут из книги по WMI тестовый пример на vbs — вот он «ловит» все сообщения системы, придется наверное разрабатывать свой костыль.
Но у меня почему-то на линукс попадают далеко не все сообщения (выйду из отпуска — подверюсь с Вашей статьёй) — может потому что в настройках rsyslog-а стоит запись в mysql.
Теперь недостатки Вашего решения и evtsys:
1. Сообщения попадают на машину с rsyslog с задержкой (почему — пока не разобрался)
2. Система не защищена от флуда — злоумышленник может «забить» журнал кучей «фейковых» сообщений,
а в случае с UDP-еще и от всех IP в сети
3. Сервис evtsys стартует раньше всех? Если нет то в базу не попадут события, произошедшие ДО старта сервиса.
Взял тут из книги по WMI тестовый пример на vbs — вот он «ловит» все сообщения системы, придется наверное разрабатывать свой костыль.
Делал то же самое 5-6 лет назад.
Snare Agent for Windows (бесплатный) + syslog-ng + MySQL опционально.
Так что инструменты были.
Snare Agent for Windows (бесплатный) + syslog-ng + MySQL опционально.
Так что инструменты были.
Мне кажется Snare Agent удобней тем, что конфигурировать его можно через web-интерфейс.
Есть еще Splunk и его модули для Windows, но он пишет в свой syslog.
Есть еще Splunk и его модули для Windows, но он пишет в свой syslog.
А меня до сих пор интересуют инструменты создания сводных отчетов по мылу с винды наподобие logwatch, но без перенаправления в syslog. Нечто подобное есть в Small Business Server, по крайней мере в версии 2003. А вот в старших версиях серверов не нашел. А то как-то не очень удобно, с линуксовых серверов ловишь logwatch, а с винды надо идти в консоль управления и смотреть…
Использую Zabbix + его родной zabbix_agent для винды, который умеет помимо всего процего собирать виндовые логи и отправлять их на zabbix-сервер и дальше делать с ними все что угодно.
Огромное спасибо!!!
Просто не поверил своим глазам, задача настолько актуальная, и настолько во время ваша замечательная статья, что просто не верится что она есть.
Просто не поверил своим глазам, задача настолько актуальная, и настолько во время ваша замечательная статья, что просто не верится что она есть.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Перенаправление событий Windows (Event Log) на сервер syslog Linux