Transférer les journaux d'événements du système Windows vers un serveur Linux Syslog sans agent

1

  • Nous avons un serveur SCOM 2012.

  • Nous avons des agents SNARE pour la conformité PCI, mais nous souhaitons maintenant réaliser des économies en rassemblant tous les événements de tous les serveurs Windows utilisant ses fonctionnalités natives .

  • Nous avons également un serveur Linux centralisé exécutant SYSLOG qui agrégera les journaux dans notre dispositif de conservation des journaux (tout cela à des fins PCI).

Ainsi, ma question:

Un serveur Windows (SCOM 2012) peut-il transférer les journaux des événements vers un serveur syslog Linux? Je suppose que cela se produirait en suivant un format de fichier plat standard ou quelque chose de similaire.

Merci

linux windows event-log syslog parser tobe1424
la source

Réponses:

1

Vous devez utiliser un agent Syslog, car Windows n'en fournit pas.

... le système d'exploitation Windows n'inclut pas d'agent syslog capable d'envoyer des données syslog à un serveur syslog. Sans agent syslog, non seulement le système d'exploitation Windows ne peut pas envoyer de messages Syslog à un serveur Syslog, mais il ne peut pas non plus envoyer de messages Syslog à partir d'applications exécutées sous le système d'exploitation Windows (comme un serveur Web ou une base de données).

La source

Cette page source et Google pour "Agent Windows Syslog" fournissent de nombreux agents Syslog que vous pouvez essayer.

Ƭᴇcʜιᴇ007
la source
1
Je vois. Alors que je recherche sur Google, je continue à voir comment un agent est la voie à suivre. Plus précisément SNARE. Cependant, nous essayons de mettre en œuvre une solution sans agent.
tobe1424
1
Pourrais-je récupérer les journaux d'événements d'un serveur Windows à l'aide d'un client WMI pour Linux tel que wbemcli? Serait-il possible avec wbemcli ou d’autres moyens de faire en sorte que Windows envoie les journaux d’événements à un serveur Linux syslog ou réponde aux requêtes du serveur syslog? J'ai découvert les idées du lien ci-dessous. Mais ils pourraient être hors de propos. superuser.com/questions/174578/…
tobe1424
1
Avec un serveur SCOM en place, Linux pourrait-il extraire les journaux de ce serveur particulier et pouvoir différencier les journaux de chaque serveur Windows à partir duquel ils ont été collectés? Ou linux pensera-t-il que tous les journaux proviennent du serveur de journaux centralisé Windows (SCOM 2012)? Y aurait-il un moyen de différencier les journaux?
tobe1424
1
J'ai répondu à votre question, s'il vous plaît une question par question. :) Ce que vous avez demandé dans les commentaires ici semble être de bons candidats pour de nouvelles questions.
cʜιᴇ007
Roger! bien noté
tobe1424