作者dghd (幸福有這麼困難?)
看板MIS
標題[請益] 請推薦收windows記錄的syslog server
時間Wed Jun 28 09:55:44 2017
各位前輩好~
因為最近資安議題火熱
被要求要留存"事件檢視器"裡的log 至少一年
敝公司大約有50台server
要即時傳送到NAS
目前的想法:
買一台大容量的NAS裝syslog server收所有server的log
(有用過kiwi 但好像沒辦法將不同server的log分開 會擠在一個檔案)
請推薦有甚麼樣的工具或軟體可以達成此目標?
功能不用太強大,能存log就好
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 210.65.83.52
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1498614947.A.3D9.html
1F:推 rokcc: 簡易方式,可以用script 加入windows 排程固定抄到NAS 06/28 11:04
2F:→ dghd: 謝謝 忘記加註:要即時傳送到NAS(有事件產生就送到NAS) 06/28 11:19
※ 編輯: dghd (210.65.83.52), 06/28/2017 11:19:55
3F:→ a91060049: 自建centos+syslogng 06/28 12:20
4F:推 xxoo1122: 比較簡單的就是用cacti+syslog,他會幫你把主機分開 06/28 12:33
5F:→ xxoo1122: 或是用Elasticsearch+Logstash+Kibana 06/28 12:34
6F:→ xxoo1122: 但是ELK比較複雜一點 06/28 12:34
7F:推 purplvampire: syslog你沒分析系統能查出什麼東西?你能判讀異常 06/28 15:29
8F:→ purplvampire: 狀況嗎? 06/28 15:29
9F:→ dennisxkimo: syslog watcher pro (免費版只能收一台資料) 06/28 16:30
10F:→ dennisxkimo: 內建報告功能 也可以同時odbc進sql資料庫 06/28 16:31
11F:→ infosec: splunk卡好用啦.. 06/28 16:54
12F:推 s958256: 推splunk 06/28 18:29
13F:推 slash66: splunk好用,搜尋功能超方便,分類也可以很清楚 06/28 19:56
14F:推 error987: Graylog 免費版只是少封存功能,splunk有的功能幾乎都 06/28 21:14
15F:→ error987: 有 06/28 21:14
16F:推 error987: client安裝nxlog,可以自定義filter,只收重點event log 06/28 21:18
17F:→ a91060049: splunk要授權吧 06/28 23:36
18F:推 error987: splunk 免費版一台一天可以收500M的log量 06/29 00:09
19F:→ slash66: 500M免費,我自己就裝了好幾台分開收 06/29 11:39
20F:→ coflame: 如果你只是要收,不分析的話,直接裝eventlog to syslog 07/08 09:50
21F:→ coflame: 然後送到你的NAS syslog daemon就行了 07/08 09:50
23F:推 popxpopxpop: splunk收過一間工廠的防火牆log,近2g/天.. 07/09 04:25
24F:推 openlien: 推Splunk+1 08/01 22:49