[請益] 請推薦收windows記錄的syslog server

作者dghd (幸福有這麼困難?)

看板MIS

標題[請益] 請推薦收windows記錄的syslog server

時間Wed Jun 28 09:55:44 2017

各位前輩好~ 因為最近資安議題火熱被要求要留存"事件檢視器"裡的log 至少一年敝公司大約有50台server 要即時傳送到NAS 目前的想法: 買一台大容量的NAS裝syslog server收所有server的log (有用過kiwi 但好像沒辦法將不同server的log分開會擠在一個檔案) 請推薦有甚麼樣的工具或軟體可以達成此目標? 功能不用太強大，能存log就好謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 210.65.83.52 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1498614947.A.3D9.html

推 rokcc: 簡易方式，可以用script 加入windows 排程固定抄到NAS 06/28 11:04

→ dghd: 謝謝忘記加註:要即時傳送到NAS(有事件產生就送到NAS) 06/28 11:19

※ 編輯: dghd (210.65.83.52), 06/28/2017 11:19:55

→ a91060049: 自建centos+syslogng 06/28 12:20

推 xxoo1122: 比較簡單的就是用cacti+syslog,他會幫你把主機分開 06/28 12:33

→ xxoo1122: 或是用Elasticsearch+Logstash+Kibana 06/28 12:34

→ xxoo1122: 但是ELK比較複雜一點 06/28 12:34

推 purplvampire: syslog你沒分析系統能查出什麼東西？你能判讀異常 06/28 15:29

→ purplvampire: 狀況嗎？ 06/28 15:29

→ dennisxkimo: syslog watcher pro (免費版只能收一台資料) 06/28 16:30

→ dennisxkimo: 內建報告功能也可以同時odbc進sql資料庫 06/28 16:31

→ infosec: splunk卡好用啦.. 06/28 16:54

推 s958256: 推splunk 06/28 18:29

推 slash66: splunk好用，搜尋功能超方便，分類也可以很清楚 06/28 19:56

推 error987: Graylog 免費版只是少封存功能，splunk有的功能幾乎都 06/28 21:14

→ error987: 有 06/28 21:14

推 error987: client安裝nxlog，可以自定義filter，只收重點event log 06/28 21:18

→ a91060049: splunk要授權吧 06/28 23:36

推 error987: splunk 免費版一台一天可以收500M的log量 06/29 00:09

→ slash66: 500M免費，我自己就裝了好幾台分開收 06/29 11:39

→ coflame: 如果你只是要收，不分析的話，直接裝eventlog to syslog 07/08 09:50

→ coflame: 然後送到你的NAS syslog daemon就行了 07/08 09:50

→ coflame: https://sourceforge.net/projects/el2sl/ 07/08 09:51

推 popxpopxpop: splunk收過一間工廠的防火牆log，近2g/天.. 07/09 04:25

推 openlien: 推Splunk+1 08/01 22:49