Központi rsyslog szerver Windows kliensekkel

 ( neutrino | 2019. április 10., szerda - 14:05 )

Sziasztok,

Centralizált loggyűjtést szeretnék a hálózatba, ezért belőttem egy Rsyslog szervert és egy LogAnalyzert. A Linuxokkal nincs probléma, működnek ahogy kell. Viszont szükségem lenne Windowsos kliensre, amivel be lehet tolni az Eventlog tartalmát Syslog formában.

Tudtok erre valami utilityt?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kimaradt a követelménylistámból, hogy: free.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Az NXLog free verziója tudja: https://nxlog.co/docs/nxlog-ce/nxlog-reference-manual.html#im_msvistalog_config_examples
Syslog-ng-ből csak a fizetős tud eventlog-ot tudtommal.

Vagy felraksz egy Winlogbeat-ot ami Logstash-ba teszi, és abból tudod forwardolni Rsyslog-ba. Hacsak az Rsyslog-nak nincs valami Lumberjack bemeneti modulja akkor kihagyható...

Egyébként ha nincs túl nagy EPS (mert akkor clusterezni kell) akkor jobban jársz ha felraksz egy Graylog-ot a központi szerverre az rsyslog+loganalyzer helyett és megvan a loggyűjtő+nézegető cucc egyben. És a Graylog eszik kb minden bemeneti syslog (szerű) formátumot.

Ha nincs túl nagy EPS, akkor a QRadar CE veziója is szóba jöhet (ami mondjuk már egy komplett SIEM megoldás, nem csak loggyűjtő), ahhoz is jár a wincollect agent.

Persze ezesetben az 50EPS/5000FPM, inkább csak amolyan kipróbálásra való, mint valódi felhasználásra. :)

--
zrubi.hu

Én mindig mosolygok azon, ha valaki elvárja, hogy egy zárt, kereskedelmi trermékre inygenes, esetleg open-source megoldást/toolokat kapjon az ölébe.

Nyilván egy csomó - megkérdőjelezhető szándékú és minőségű - hobbi projekt létezik ilyen modellben, de mégis ki szarakodna log forwardolással kedvtelésből, szabadidejében? :D
(Nem beszélve arról, hogy a windows logokkal ba*akodni fizetésért sem egy álom meló ;)

Aki csinál is ilyet (pl NXLog) az is "csak" minimális funkcionalitással, hogy belássad megéri megvenni a fizetős verziót.

szerintem.

de hogy konstruktív is legyek:
https://www.syslog-ng.com/community/b/blog/posts/syslog-clients-for-windows
(De - érthető módon - nyilván ők is arra hajtanak, hogy vedd meg a terméküket inkább)

--
zrubi.hu

Nem tudom ismered-e az ELK vagy a Graylog stacket, de mi az ami hiányzik (SIEM-et ne hozzuk ide) belőle és fizetni kell érte? Amellett, hogy van fizetős verzió mindkettőből, mivel a support ugye enterprise környezetben elvárás. Ezek nem hobbi projektek. Annyi baj van velük, hogy mivel ES alapúak, eléggé "heavyweight" cuccok. Magas EPS-hez kell pár szerver na.

Hát, talán pont az amiről ez a topik is szól:
windows - és egyéb zárt, nem szabványos log formátumok/protokolok befogadása (és parszolása)?

De nem használtam egyiket sem éles környezetben, így érdemi tapasztalatom sincs velük.

De ha neked van, mit jelent a magas EPS ezeknél?
mondjuk meddig elég egy all-in-one box?
(feltételezve, van benne ~192Gb RAM, és 2x12 magos proci)

--
zrubi.hu

A Windows log parzolása mint írtam volt out-of-the-box megy:

https://www.elastic.co/products/beats/winlogbeat

De változatos Network eszközökre is van parzer, továbbá netflow etc... A doksiban minden benne van.

Egy méretezési írás (a sajátunk nem publikus):

https://thehftguy.com/2016/09/12/250-gbday-of-logs-with-graylog-lessons-learned/