Как стать автором
Обновить

Комментарии 17

Насколько я знаю, у этой штуковины проблемы с кириллицей в логах, или уже пофиксили?
Кириллица в логах? 1С?
Нет… сообщений на русском хватает как в горах самого windows server, так и сторонних сервисов
А зачем вам сервер с русской локалью? Православно ли это?
Какой неприкрытый троллинг. Зачем тогда хабр русский? :)
а как сменить локаль системного лога, если установлены русские сервера?
лицензия на английские сервера стоят дороже почти в два раза.
> С другой стороны существует простая и надежная система syslog
Боюсь вас несколько расстроить, но syslog как таковой использует udp, так что назвать его надежным язык не поворачивается.
Пробовал делать сислог коллектор целиком на основе rsyslog + Splunk, но опять же при переходе на tcp приходиться вносить дополнительные поля в сислог сообщения, чтобы нормально интексировать логи на спланке.
Боюсь вас несколько расстроить, но syslog уже достаточно давно умеет TCP.
Приношу свои извинения, глянул сейчас в RFC — нет, не умеет, это просто в rsyslog фича такая.
В RFS 5424, который является заменой 3164, рекомендуют использовать TLS для syslog.
Посмотрите еще на www.intersectalliance.com/snareserver/index.html — хорошая штука. Сейчас на основе нее тоже пишу перловый скрипт для мониторинга действий пользователей на шарах. Если не трудно, поделитесь своим скриптом, ибо в перле я не очень.
Буквально пару месяцев назад тоже «нашел» для себя в куче неадеквата evtsys.
Но у меня почему-то на линукс попадают далеко не все сообщения (выйду из отпуска — подверюсь с Вашей статьёй) — может потому что в настройках rsyslog-а стоит запись в mysql.

Теперь недостатки Вашего решения и evtsys:
1. Сообщения попадают на машину с rsyslog с задержкой (почему — пока не разобрался)
2. Система не защищена от флуда — злоумышленник может «забить» журнал кучей «фейковых» сообщений,
а в случае с UDP-еще и от всех IP в сети
3. Сервис evtsys стартует раньше всех? Если нет то в базу не попадут события, произошедшие ДО старта сервиса.

Взял тут из книги по WMI тестовый пример на vbs — вот он «ловит» все сообщения системы, придется наверное разрабатывать свой костыль.
Делал то же самое 5-6 лет назад.

Snare Agent for Windows (бесплатный) + syslog-ng + MySQL опционально.

Так что инструменты были.
Мне кажется Snare Agent удобней тем, что конфигурировать его можно через web-интерфейс.
Есть еще Splunk и его модули для Windows, но он пишет в свой syslog.
А меня до сих пор интересуют инструменты создания сводных отчетов по мылу с винды наподобие logwatch, но без перенаправления в syslog. Нечто подобное есть в Small Business Server, по крайней мере в версии 2003. А вот в старших версиях серверов не нашел. А то как-то не очень удобно, с линуксовых серверов ловишь logwatch, а с винды надо идти в консоль управления и смотреть…
Использую Zabbix + его родной zabbix_agent для винды, который умеет помимо всего процего собирать виндовые логи и отправлять их на zabbix-сервер и дальше делать с ними все что угодно.
Огромное спасибо!!!
Просто не поверил своим глазам, задача настолько актуальная, и настолько во время ваша замечательная статья, что просто не верится что она есть.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории