作者dghd (幸福有这麽困难?)
看板MIS
标题[请益] 请推荐收windows记录的syslog server
时间Wed Jun 28 09:55:44 2017
各位前辈好~
因为最近资安议题火热
被要求要留存"事件检视器"里的log 至少一年
敝公司大约有50台server
要即时传送到NAS
目前的想法:
买一台大容量的NAS装syslog server收所有server的log
(有用过kiwi 但好像没办法将不同server的log分开 会挤在一个档案)
请推荐有甚麽样的工具或软体可以达成此目标?
功能不用太强大,能存log就好
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 210.65.83.52
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1498614947.A.3D9.html
1F:推 rokcc: 简易方式,可以用script 加入windows 排程固定抄到NAS 06/28 11:04
2F:→ dghd: 谢谢 忘记加注:要即时传送到NAS(有事件产生就送到NAS) 06/28 11:19
※ 编辑: dghd (210.65.83.52), 06/28/2017 11:19:55
3F:→ a91060049: 自建centos+syslogng 06/28 12:20
4F:推 xxoo1122: 比较简单的就是用cacti+syslog,他会帮你把主机分开 06/28 12:33
5F:→ xxoo1122: 或是用Elasticsearch+Logstash+Kibana 06/28 12:34
6F:→ xxoo1122: 但是ELK比较复杂一点 06/28 12:34
7F:推 purplvampire: syslog你没分析系统能查出什麽东西?你能判读异常 06/28 15:29
8F:→ purplvampire: 状况吗? 06/28 15:29
9F:→ dennisxkimo: syslog watcher pro (免费版只能收一台资料) 06/28 16:30
10F:→ dennisxkimo: 内建报告功能 也可以同时odbc进sql资料库 06/28 16:31
11F:→ infosec: splunk卡好用啦.. 06/28 16:54
12F:推 s958256: 推splunk 06/28 18:29
13F:推 slash66: splunk好用,搜寻功能超方便,分类也可以很清楚 06/28 19:56
14F:推 error987: Graylog 免费版只是少封存功能,splunk有的功能几乎都 06/28 21:14
15F:→ error987: 有 06/28 21:14
16F:推 error987: client安装nxlog,可以自定义filter,只收重点event log 06/28 21:18
17F:→ a91060049: splunk要授权吧 06/28 23:36
18F:推 error987: splunk 免费版一台一天可以收500M的log量 06/29 00:09
19F:→ slash66: 500M免费,我自己就装了好几台分开收 06/29 11:39
20F:→ coflame: 如果你只是要收,不分析的话,直接装eventlog to syslog 07/08 09:50
21F:→ coflame: 然後送到你的NAS syslog daemon就行了 07/08 09:50
23F:推 popxpopxpop: splunk收过一间工厂的防火墙log,近2g/天.. 07/09 04:25
24F:推 openlien: 推Splunk+1 08/01 22:49