Windows-Systemereignisprotokolle an einen Linux-Syslog-Server ohne Agenten weiterleiten

1

  • Wir haben einen SCOM 2012 Server.

  • Wir haben SNARE-Agenten für die PCI-Konformität, Jetzt möchten wir jedoch Geld sparen, indem wir alle Ereignisse für alle Windows-Server mithilfe der systemeigenen Funktionen erfassen .

  • Wir haben auch einen zentralisierten Linux-Server, auf dem SYSLOG ausgeführt wird, der die Protokolle zu unserer Protokollaufbewahrungs-Appliance aggregiert (alles für PCI-Zwecke).

Also meine Frage:

Kann ein Windows-Server (SCOM 2012) die Ereignisprotokolle an einen Linux-Syslog-Server weiterleiten? Ich gehe davon aus, dass dies bei Verwendung eines Standard-Flatfile-Formats oder ähnlichem der Fall ist.

Vielen Dank

linux windows event-log syslog parser tobe1424
quelle

Antworten:

1

Sie müssen einen Syslog-Agenten verwenden, da Windows keinen bereitstellt.

... das Windows-Betriebssystem keinen Syslog-Agenten enthält, der Syslog-Daten an einen Syslog-Server senden kann. Ohne einen Syslog-Agenten kann das Windows-Betriebssystem nicht nur Syslog-Nachrichten an einen Syslog-Server senden, sondern auch keine Syslog-Nachrichten von Anwendungen senden, die unter Windows ausgeführt werden (z. B. einem Webserver oder einer Datenbank).

Quelle

Sowohl diese Quellseite als auch Googeln nach "Windows Syslog Agent" Stellen Sie viele verschiedene Syslog-Agenten zur Verfügung, die Sie ausprobieren können.

Ƭᴇcʜιᴇ007
quelle
1
Aha. Wenn ich google, sehe ich weiterhin, wie ein Agent vorgeht. Speziell SNARE. Wir versuchen jedoch, eine agentenlose Lösung zu implementieren.
tobe1424
1
Kann ich mit einem WMI-Client für Linux wie wbemcli Ereignisprotokolle von einem Windows-Server abrufen? Wäre es mit wbemcli oder anderen Mitteln möglich, Windows-Ereignisprotokolle auf einen Linux-Syslog-Server zu übertragen oder auf Anfragen des Syslog-Servers zu antworten? Die Ideen habe ich über den unten stehenden Link entdeckt. Aber sie könnten irrelevant sein. superuser.com/questions/174578/…
tobe1424
1
Wäre Linux mit einem SCOM-Server in der Lage, die Protokolle von diesem einen bestimmten Server abzurufen und die Protokolle von jedem Windows-Server zu unterscheiden, von dem sie gesammelt wurden? Oder wird Linux denken, dass die Protokolle alle vom zentralen Windows-Protokollserver (SCOM 2012) stammen? Gibt es eine Möglichkeit, die Protokolle zu unterscheiden?
tobe1424
1
Ich habe Ihre Frage beantwortet, bitte eine Frage pro Frage. :) Was Sie in den Kommentaren hier gefragt haben, scheint ein guter Kandidat für neue Fragen zu sein.
Ƭᴇcʜιᴇ007
Roger! gut erkannt
tobe1424