Logo faq-o-matic.net
Logo faq-o-matic.net

Eventlogs nach Syslog leiten

von veröffentlicht am10. April 2012, 06:30 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Administration, Client-Software, Monitoring, Windows   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Während die meisten Devices im Netz die Möglichkeit haben, per syslog Ereignisse an einen anderen Server zu senden, fehlt dies bei Windows. Auf Clients mag man noch darauf verzichten können, aber in einer gemischten Serverlandschaft hätte das durchaus Vorteile.

  • Die Auswertung der Logfiles aller Komponenten (Windows, Linux, Switche etc) kann an einer zentralen Stelle erfolgen
  • Die Logfiles werden dupliziert auf einen anderen Server und stehen auch nach einem Systemausfall zur Auswertung zur Verfügung
  • Ein Hacker müßte bei einem Angriff in einen weiteren Server eindringen, um seine Spuren zu verwischen. Handelt es sich bei diesem anderen Server gar um eine andere Plattform (zum Beispiel beim Weiterleiten von Events von Windows per syslog auf einen Linux-Server), wird das zusätzlich erschwert.

Ein Mini-Tool, das alle Eventlog-Einträge per UDP an einen Syslog-Server sendet, habe ich vor kurzem mal wieder ausprobiert und bin nach wie vor sehr zufrieden damit. Es nennt sich (sehr spektakulär) „Eventlog to Syslog„, stammt von Sherwin Faria, und liegt in der Version v4.4.3 vom März 2011 kostenlos zum Download bereit unter:

http://code.google.com/p/eventlog-to-syslog/

Nach dem Auspacken der 32bit- oder 64bit-Version kopiert man die evtsys.exe und evtsys.dll in das Windows-Systemverzeichnis (wie in der prima Anleitung beschrieben), wechselt da rein und startet das Tool. Je nach Parameter installiert es sich als Service oder läuft einfach mal nur auf der Kommandozeile (Debug-Modus). Möchte man zum Beispiel einfach alles weiterleiten und den Service installieren, dann reicht ein einmaliges:

evtsys.exe -i -h <logserver.mydomain.com>

Optional kann man weitere Logserver angeben, auch den Port verändern, und noch ein paar andere Dinge. Die 8 Registry-Werte, die der Service anlegt, sind in der Anleitung aufgeführt. Auch ein Uninstall funktioniert sehr einfach. Fehlt noch ein

net start evtsys

und schon werden munter Events an den Logserver gesendet. Die Konfiguration dort hängt natürlich vom verwendeten Logserver ab. Ich habe das mit dem „Kiwi Syslog Service Manager“ auf einem anderen Windows-Server probiert, aber auch schon mal mit syslog-ng auf Linux getestet.

Auch auf Agent-Seite gibt es mehrere Applikationen, die in Frage kommen könnten, zum Beispiel den Correlog-Agent, aber mir reicht der EVTSYS vollständig.

Übrigens gibt es unter Windows Server 2008 natürlich auch die Möglichkeit, Eventlogs von anderen Windows 2008 Servern bzw. Windows 7 Clients zu sammeln (mittels WinRM), aber über verschiedste Plattformen hinweg eben nicht.

Viel Spaß!

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!