Sziasztok,
Centralizált loggyűjtést szeretnék a hálózatba, ezért belőttem egy Rsyslog szervert és egy LogAnalyzert. A Linuxokkal nincs probléma, működnek ahogy kell. Viszont szükségem lenne Windowsos kliensre, amivel be lehet tolni az Eventlog tartalmát Syslog formában.
Tudtok erre valami utilityt?
- 1138 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
Kimaradt a követelménylistámból, hogy: free.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház
- A hozzászóláshoz be kell jelentkezni
Az NXLog free verziója tudja: https://nxlog.co/docs/nxlog-ce/nxlog-reference-manual.html#im_msvistalo…
Syslog-ng-ből csak a fizetős tud eventlog-ot tudtommal.
Vagy felraksz egy Winlogbeat-ot ami Logstash-ba teszi, és abból tudod forwardolni Rsyslog-ba. Hacsak az Rsyslog-nak nincs valami Lumberjack bemeneti modulja akkor kihagyható...
- A hozzászóláshoz be kell jelentkezni
Egyébként ha nincs túl nagy EPS (mert akkor clusterezni kell) akkor jobban jársz ha felraksz egy Graylog-ot a központi szerverre az rsyslog+loganalyzer helyett és megvan a loggyűjtő+nézegető cucc egyben. És a Graylog eszik kb minden bemeneti syslog (szerű) formátumot.
- A hozzászóláshoz be kell jelentkezni
Ha nincs túl nagy EPS, akkor a QRadar CE veziója is szóba jöhet (ami mondjuk már egy komplett SIEM megoldás, nem csak loggyűjtő), ahhoz is jár a wincollect agent.
Persze ezesetben az 50EPS/5000FPM, inkább csak amolyan kipróbálásra való, mint valódi felhasználásra. :)
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni
Én mindig mosolygok azon, ha valaki elvárja, hogy egy zárt, kereskedelmi trermékre inygenes, esetleg open-source megoldást/toolokat kapjon az ölébe.
Nyilván egy csomó - megkérdőjelezhető szándékú és minőségű - hobbi projekt létezik ilyen modellben, de mégis ki szarakodna log forwardolással kedvtelésből, szabadidejében? :D
(Nem beszélve arról, hogy a windows logokkal ba*akodni fizetésért sem egy álom meló ;)
Aki csinál is ilyet (pl NXLog) az is "csak" minimális funkcionalitással, hogy belássad megéri megvenni a fizetős verziót.
szerintem.
de hogy konstruktív is legyek:
https://www.syslog-ng.com/community/b/blog/posts/syslog-clients-for-win…
(De - érthető módon - nyilván ők is arra hajtanak, hogy vedd meg a terméküket inkább)
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni
Nem tudom ismered-e az ELK vagy a Graylog stacket, de mi az ami hiányzik (SIEM-et ne hozzuk ide) belőle és fizetni kell érte? Amellett, hogy van fizetős verzió mindkettőből, mivel a support ugye enterprise környezetben elvárás. Ezek nem hobbi projektek. Annyi baj van velük, hogy mivel ES alapúak, eléggé "heavyweight" cuccok. Magas EPS-hez kell pár szerver na.
- A hozzászóláshoz be kell jelentkezni
Hát, talán pont az amiről ez a topik is szól:
windows - és egyéb zárt, nem szabványos log formátumok/protokolok befogadása (és parszolása)?
De nem használtam egyiket sem éles környezetben, így érdemi tapasztalatom sincs velük.
De ha neked van, mit jelent a magas EPS ezeknél?
mondjuk meddig elég egy all-in-one box?
(feltételezve, van benne ~192Gb RAM, és 2x12 magos proci)
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni
A Windows log parzolása mint írtam volt out-of-the-box megy:
https://www.elastic.co/products/beats/winlogbeat
De változatos Network eszközökre is van parzer, továbbá netflow etc... A doksiban minden benne van.
Egy méretezési írás (a sajátunk nem publikus):
https://thehftguy.com/2016/09/12/250-gbday-of-logs-with-graylog-lessons…
- A hozzászóláshoz be kell jelentkezni