Gutes Windows-Tool zur Analyse / Berichterstellung von Ereignisprotokollen?

7

Ich suche nach einer Windows- Ereignisprotokoll-Analyse- und Überwachungssoftware für Windows Server 2000/2003 (Windows Server 2008 enthält einige neue Funktionen). Der Funktionsumfang sollte Folgendes umfassen:

  • Echtzeitüberwachung (Benachrichtigungen per E-Mail oder andere Nachrichten)
  • Definition von Ereignissen / Ereignisgruppen, die beobachtet werden
  • mehrere Server
  • Berichterstattung (tägliche / wöchentliche usw. Berichte)
  • nette Client-Tools
  • nicht unbedingt kostenlos oder Open Source, aber das wäre schön (natürlich)

Irgendwelche Empfehlungen oder Tipps, wie dies mit Standardtools implementiert werden kann?

Vielen Dank!

windows monitoring windows-event-log reporting splattne
quelle
Einkaufsfragen sind auf allen Stack Exchange- Websites nicht zum Thema . Weitere Informationen finden Sie unter Fragen und Antworten. Weitere Informationen finden Sie unter Einkaufen und häufig gestellte Fragen .
Chris S

Antworten:

5

Ich würde vorschlagen, dass Sie OSSEC verwenden . Es kann alle Informationen auf einem einzigen Server zusammenfassen und verfügt über eine schöne Weboberfläche, über die Sie die Warnungen anzeigen können.

Antoine Benkemoun
quelle
2

Ich verwende eine Reihe von benutzerdefinierten Perl-Skripten. Sie machen verschiedene Dinge, aber die wichtigste geht die Ereignisprotokolle jedes Servers durch, extrahiert die Warnungen und Fehler der letzten 24 Stunden, erstellt eine Excel-Tabelle mit den Ergebnissen und legt diese in einem Ordner ab, den ich jeden Morgen überprüfe. Auf diese Weise erhalte ich die interessanten Teile in einem leicht lesbaren Format.

Ich denke derzeit über die Praktikabilität der Integration der Ereignisprotokollüberwachung in Nagios nach. Mit der richtigen Art von Ignorierfiltern (z. B. ist es mir wirklich egal, dass ein Druckauftrag fehlgeschlagen ist) sollte ich nur Warnungen erhalten, die geprüft werden müssen. Das ist ein gutes Stück Arbeit, aber ich muss es nur einmal tun und es wird meine Arbeit langfristig erleichtern. Alternativ kann ich mir Zenoss noch einmal ansehen.

John Gardeniers
quelle
1

Ich kann empfehlen, den GFI-Event-Manager NICHT zu verwenden. Es ist ein riesiges Bandbreitenproblem (es werden wiederholt ganze Protokolle über das Kabel gestreamt), und wenn Sie über t1 Remote-Standorte verfügen, ist dies eine große Sache. Außerdem ist es schuppig, so dass für eine einfache Lösung viel zu viel Wartung erforderlich ist.

SecureWorks hat eine Lösung, die wir versuchen werden. Es sieht ziemlich gut aus.

therulebookman
quelle
1

Splunk (www.splunk.com)

Noah Campbell
quelle