Eventlogs nach Syslog leiten

Während die meisten Devices im Netz die Möglichkeit haben, per syslog Ereignisse an einen anderen Server zu senden, fehlt dies bei Windows. Auf Clients mag man noch darauf verzichten können, aber in einer gemischten Serverlandschaft hätte das durchaus Vorteile.

• Die Auswertung der Logfiles aller Komponenten (Windows, Linux, Switche etc) kann an einer zentralen Stelle erfolgen
• Die Logfiles werden dupliziert auf einen anderen Server und stehen auch nach einem Systemausfall zur Auswertung zur Verfügung
• Ein Hacker müßte bei einem Angriff in einen weiteren Server eindringen, um seine Spuren zu verwischen. Handelt es sich bei diesem anderen Server gar um eine andere Plattform (zum Beispiel beim Weiterleiten von Events von Windows per syslog auf einen Linux-Server), wird das zusätzlich erschwert.

Ein Mini-Tool, das alle Eventlog-Einträge per UDP an einen Syslog-Server sendet, habe ich vor kurzem mal wieder ausprobiert und bin nach wie vor sehr zufrieden damit. Es nennt sich (sehr spektakulär) „Eventlog to Syslog„, stammt von Sherwin Faria, und liegt in der Version v4.4.3 vom März 2011 kostenlos zum Download bereit unter:

http://code.google.com/p/eventlog-to-syslog/

Nach dem Auspacken der 32bit- oder 64bit-Version kopiert man die evtsys.exe und evtsys.dll in das Windows-Systemverzeichnis (wie in der prima Anleitung beschrieben), wechselt da rein und startet das Tool. Je nach Parameter installiert es sich als Service oder läuft einfach mal nur auf der Kommandozeile (Debug-Modus). Möchte man zum Beispiel einfach alles weiterleiten und den Service installieren, dann reicht ein einmaliges:

evtsys.exe -i -h <logserver.mydomain.com>

Optional kann man weitere Logserver angeben, auch den Port verändern, und noch ein paar andere Dinge. Die 8 Registry-Werte, die der Service anlegt, sind in der Anleitung aufgeführt. Auch ein Uninstall funktioniert sehr einfach. Fehlt noch ein

net start evtsys

und schon werden munter Events an den Logserver gesendet. Die Konfiguration dort hängt natürlich vom verwendeten Logserver ab. Ich habe das mit dem „Kiwi Syslog Service Manager“ auf einem anderen Windows-Server probiert, aber auch schon mal mit syslog-ng auf Linux getestet.

Auch auf Agent-Seite gibt es mehrere Applikationen, die in Frage kommen könnten, zum Beispiel den Correlog-Agent, aber mir reicht der EVTSYS vollständig.

Übrigens gibt es unter Windows Server 2008 natürlich auch die Möglichkeit, Eventlogs von anderen Windows 2008 Servern bzw. Windows 7 Clients zu sammeln (mittels WinRM), aber über verschiedste Plattformen hinweg eben nicht.

Viel Spaß!