Я хочу превратить свой Raspberry Pi B+ в сервер разбора и анализа журналов для моей домашней сети (в настоящее время 6 компьютеров). Для машин Linux это не должно быть слишком сложно с помощью rsyslog и Logwatch или чего-то подобного.
Однако настоящие проблемы — а также основные причины, по которым я хочу это сделать — это две машины с Windows. Одна Win7 x86, другая Win10 x64. Коробка Win7, в частности, используется для бизнеса, поэтому она важна. Если что-то пойдет не так на этих машинах с Windows, я хочу знать об этом немедленно.
Существует ли такое программное обеспечение, которое могло бы
Запуск в Linux
Принимать удаленные журналы с клиентских компьютеров Windows
Разбирать и анализировать журналы
Предоставлять резюме, которое будет приходить мне по электронной почте ежедневно?
Я чувствую, что очевидным ответом будет использование OSSEC, у которого есть клиентская версия для Windows. Но я бы предпочел что-то более простое по своей природе, больше похожее на Logwatch.
Вы можете взглянуть на GRR Rapid Response — структуру реагирования на инциденты, ориентированную на удаленную судебную экспертизу в реальном времени.
Он состоит из установки сервера и клиента и может предоставить вам массу информации о каждой машине, на которой установлен клиент.
Поскольку он написан на python, установить сервер на Raspberry Pi не составит труда, и он может собирать множество данных для каждой клиентской машины.
Я еще не нашел каких-либо компонентов, предназначенных специально для анализа файлов журнала Windows, но я подозреваю, что они где-то есть, и вы можете указать, какие данные собирать до такой степени, что они могут быть более или менее избыточными.
Томас Веллер
кнопка
Get-Eventlog
, но вы можете подключиться к хостам Windows с помощью удаленного взаимодействия и запустить там команду.