Переадресация журналов событий системы Windows на сервер системных журналов Linux без агента

10992
tobe1424

  • У нас есть сервер SCOM 2012.

  • У нас есть агенты SNARE для соответствия PCI, но теперь мы хотим сэкономить, собирая все события для всех серверов Windows, используя его собственные функции .

  • У нас также есть централизованный сервер Linux с запущенным SYSLOG, который объединяет журналы с нашим устройством хранения журналов (это все для целей PCI)

Итак, мой вопрос:

Может ли сервер Windows (SCOM 2012) пересылать журналы событий на сервер системного журнала Linux? Я предполагаю, что это произойдет, следуя стандартному плоскому формату файла или что-то подобное.

Спасибо

1

1 ответ на вопрос

1
Ƭᴇcʜιᴇ007

Вам необходимо использовать агент системного журнала, поскольку Windows не предоставляет его.

... ОС Windows не содержит агента системного журнала, который способен отправлять данные системного журнала на сервер системного журнала. Без агента системного журнала не только ОС Windows не может отправлять сообщения системного журнала на сервер системного журнала, но также не может отправлять сообщения системного журнала из любых приложений, работающих в ОС Windows (например, веб-сервер или база данных).

Источник

И эта исходная страница, и Googling для «агента системного журнала Windows» предоставляют множество различных агентов системного журнала, которые вы можете попробовать.

Понимаю. Пока я гуглю, я продолжаю видеть, как агент - это путь. Специально SNARE. Однако мы пытаемся внедрить безагентное решение. tobe1424 10 лет назад 1
Смогу ли я получить журналы событий с сервера Windows с помощью клиента WMI для Linux, такого как wbemcli? Возможно ли с помощью wbemcli или других средств, чтобы Windows отправляла журналы событий на сервер системного журнала linux или отвечала на запросы с сервера системного журнала? Я обнаружил идеи по ссылке ниже. Но они могут быть неуместны. http://superuser.com/questions/174578/access-windows-log-files-from-linux/174647#174647 tobe1424 10 лет назад 1
Имея сервер SCOM на месте, сможет ли linux извлечь журналы с этого конкретного сервера и отличить журналы от каждого сервера Windows, с которого они были собраны? Или Linux будет считать, что все журналы были созданы на централизованном сервере журналов Windows (SCOM 2012)? Был бы способ дифференцировать журналы? tobe1424 10 лет назад 1
Я ответил на ваш вопрос, пожалуйста, один вопрос на вопрос. :) То, что вы спросили в комментариях здесь, кажется хорошим кандидатом на новые вопросы. Ƭᴇcʜιᴇ007 10 лет назад 1
Роджер! хорошо замечено tobe1424 10 лет назад 0

Похожие вопросы