Windowsイベント（イベントログ）をLinux syslogサーバーに転送する

エントリー

この記事は、Linuxに精通しており、混在環境でこれらのシステムファミリを使用するシステム管理者を対象としています。さまざまなOSがさまざまなタスクに適していることを十分に認識しています。 また、その理論的な部分であるLinuxに精通していない管理者も含め、すべての管理者にとって興味深いものになります。

一元化されたストレージと処理の利便性のために、WindowsベースのサーバーのイベントログからLinux syslogにシステムイベントを転送する簡単で信頼性の高い方法（かなりシンプルで信頼性の高いサードパーティユーティリティ）について説明します。

現実には、現在の企業環境において、最も効果的で信頼性の高いソリューションは、問題を解決する品質と方法により、サーバーオペレーティングシステムの混合に基づいています。 ワークステーション、したがってグループの管理は、Active Directoryで簡単に実行できます。 Webサーバー、プロキシサーバーはLinuxに置く方が信頼性が高いです。 ルーターはシスコから何かをするのが速いです。 これは、多くの中規模企業の管理者が取り組む客観的な現実です（特にLinuxに精通しており、Windowsから逃れることはできず、Windowsにドメインコントローラーがあり、Linuxにプロキシサーバーとルーターがあることがよくあります）。 1つのWindowsで対応できます;大企業では、ほとんどの場合、Linux管理者とワイン管理者がそれぞれの分野を巧みに担当しています。 とにかく、この記事はこのトピックに関する理論と研究ではありません。この記事は、そのような環境で作業している管理者にほぼ常に発生する特定のタスクに関するものであり、しばらくの間導入が進んでいます。

説明

サーバーを操作するすべての人は、毎日自分のマシンのログシステムを知って使用しており、LinuxのsyslogとWindowsのイベントログの仕組みを知っています。

Windows Server 2008の時代以前は、イベントログは奇妙なシステムであり、サーバー用ではないように作成されていました。各コンピューターはイベントをローカルに書き込み、保存し、集中表示のためにネットワーク経由でイベントを送信するための便利なメカニズム、または少なくともストレージがまったくありませんでした。 さて、ところで、誰もがこれを知っています。 サーバーのログを表示することは、MMORPGのクエストのようでした。いくつかの場所を探索し、それぞれの場所でいくつかのアイテムを収集します。 Windows Vistaからは、他のWindows> Vistaコンピューター上で、人に向けた一歩が踏み出され、ローカルイベント転送システムが作成されました。 これは優れた進歩的なものであり、まさにこれが欠落していたものですが、現実には、現時点では多くのWindows 2003サーバーが残っており、そのようなメカニズムがないか存在する古いものではありませんが、それらは巨大な実装でそれらを撃退します。

一方、Linux向けのシンプルで信頼性の高いsyslogシステムは、もともとログの分散送受信のために開発され、これに必要なものがすべて含まれています。 彼女は、このプロトコルを使用してログを送信する機能がハードウェアルーターと他のさまざまなデバイスの両方に組み込まれているので、ネットワーク上のすべてのデバイスからすべてのログを収集するネットワーク上のサーバーを作成することができます。サーバー、コーヒーメーカー、クーラー、私が分割したもの... Windowsを除く。 Windowsがログをsyslogに送信できれば、それがログリポジトリを集中化するための理想的なソリューションになるとは考えもしなかった人はいないでしょう。 すべてを1か所に保管すると便利です。何年も保存し、テキストファイルをアーカイブし（完全に圧縮されます）、複数のサーバーから1つのテキストファイルを解析して処理し、複数のマシンの1つの重要なイベントを一度にキャッチします。

私はそのような質問をしました。 私は数年前に彼らに尋ねて、不快な大失敗に苦しんだ-これを行うことができるユーティリティはたくさんありますが、それらはすべてプロの管理者の悪夢のように見えます-C＃の時にはいくつかのひどいユーティリティは、1000個のボタンとチェックボックスを備えた100メガバイトで、最も不快です-_すべて有料_。 冗談はわかりませんが、数年前、Googleはそのような機能を備えた商用ソフトウェアへのリンクでいっぱいでした。 同時に、このソフトウェアは質の悪いものではなく、ダムサイトやスクリーンショットから判断します。 私は自分の意見によれば、そのような機能を自分の便宜のためにうまく使うことができる怠け者でバカではない管理者の多くは、彼らが必要とするものを見つけず、何が起こるのか分からなかった。 少なくとも私のアドバイスと参考のために、彼らは私に何度も感謝しました、そして今、あなたとそれを共有したいと思います。 つまり、しばらく前（かなり前に、この記事を書くことにしたのは今だけです）、私は自分のニーズと要件に最適なプロジェクトを見つけることができました。

http://code.google.com/p/eventlog-to-syslog/

彼の利点を簡単に説明します。
システムサービス、つまり 起動時に何も実行する必要はありません。サーバー上のゴミの次のクリーニング中に、忘れっぽいために誤って殺される可能性のある奇妙な実行可能ファイルはありません。
-簡潔な配信-.dll、.exe、短いが包括的なドキュメント。
-オープンソースコード。
-バージョン32ビットおよび64ビット。
-イベントログを使用したWindowsのすべてのバージョンで同じ作業とバージョン。
-最小限の設定（サービスをインストールするときのコマンドラインであり、必要に応じてまったく開けない作業用のテキストファイルなど）。
-最大の機能をカバーする-このプログラムが行うべきすべてのこと-ログを異なる施設に送信する方法を知っている、特定のイベントを送信から除外する方法を知っている、など、dhcpでログサーバーの名前を取得する

最初に、6か月間、8台のサーバーと2003と2008でこのプログラムが機能することを自分から付け加えます。インストール後、私はそれらのいずれもチェックせず、失敗したサーバーを再起動せず、選択せず、変更せず、私はこのサービスに目を向けませんでした。また、他のアプリケーションに影響を与えることもありませんでした。インストール後にその仕事をします。 そして第二に、プログラムは非常に動的に開発され、機能を獲得するのはそれほど前ではなく、その後安定し、現在では非常に定期的ですが、あまり頻繁ではありませんが、機能を組み合わせて、めったに再現されない小さなバグを修正します。

さらに詳細に進みましょう。

カスタマイズ

Linuxでのsyslogのセットアップ。
ネットワークロギングを有効にします。これはsyslogdデーモンの-rスイッチです。 デフォルトでは、ほとんどの場合登録されず、syslogdなしで起動すると、ネットワークはリッスンしません。

Linux、ルーター、およびWindowsのログが1つのファイルに混在していると、理解しにくいおifに変わってしまうと、おそらく気に入らないでしょう。 このために、syslogシステムにはいくつかのセクション（ファシリティ）があり、個々の施設に到着するメッセージを異なるファイルに書き込むことができます。 Windowsからのログはカーネルまたはメールに特に適しているわけではないので、syslogでlocalと呼ばれる「非個人的な」機能がいくつかあります。 たとえば、別のファイルでlocal1を取り出すには、/ etc / syslog.confに次の行を追加します。

local1。*-/ var / log / local1.log

まあ、これは番号1でローカルであることを思い出してください。同様に、残りのローカルをlocal0からlocal7に分割できます。
これは、Windowsからのログを単純に別のファイルに入れることができる最も単純なsyslog構成であることに注意してください。シンsyslog構成では、デーモンに到着するメッセージをかなり複雑に配信できますが、これはすべてsyslogマニュアルに記載されており、Linuxに精通している管理者によく知られています。
Windowsにevtsysをインストールします。

インストールは基本です-配布パッケージをダウンロードし、.dllと.exeで、％WINDIR％\ System32 \にコピーします
必要なパラメーターを指定して.exeを起動します。

evtsys.exeのパラメーター：
-iサービスをインストールします
-uサービスを削除します
-dデバッグ。 コンソールプログラムとして実行
-h hostログを送信するホスト名
-b hostログを複製する2番目のホストの名前
-f facilityファシリティログ
-l level送信されるメッセージの最小レベル
0 =すべて、1 =クリティカル、2 =エラー、3 =警告、4 =情報
-n構成に含まれるイベントのみを送信します
-p port syslogポート番号
-q bool DHCPに照会して、syslogホスト名とポートを取得します
（0/1 =有効/無効）
-s minutesメッセージ間の間隔。 0 =無効化

必要なオプションは-h hostのみです。 evtsysをサービスとしてインストールするには、-iオプションを指定する必要があります。 また、デフォルトの機能（システムデーモン）をlocal1に変更する-fオプションにも関心があります。
Evtsysはデジタル指定機能を使用しています。以下にリストを示します。

0カーネルメッセージ
1ユーザーレベルのメッセージ
2メールシステム
3つのシステムデーモン
4つのセキュリティ/認証メッセージ
syslogdによって内部的に生成される5つのメッセージ
6ラインプリンターサブシステム
7ネットワークニュースサブシステム
8 UUCPサブシステム
9クロックデーモン
10件のセキュリティ/承認メッセージ
11 FTPデーモン
12 NTPサブシステム
13ログ監査
14ログアラート
15クロックデーモン
16ローカル使用0（local0）
17ローカル使用1（local1）
18ローカル使用2（local2）
19ローカル使用3（local3）
20ローカル使用4（local4）
21ローカル使用5（local5）
22ローカル使用6（local6）
23ローカル使用7（local7）

必要なものを選択します。この場合、17（local1）以降です。コマンド全体は次のようになります。
％WINDIR％\ System32 \ evtsys.exe -i -h [syslogを使用したLinuxアドレス] -f 17

syslogに送信するイベントからいくつかのイベントを除外したい場合、たとえば、セキュリティセクションでネットワークを介したコンピューターへの各接続に関する大量のゴミが表示される場合、ファイルを作成できます（またはサービスが既に開始されている場合は開きます）％WINDIR％\ System32 \ evtsys。 EventSource：EventIDの形式に関心のないイベントをcfgおよびhammerします。 たとえば、「Security-Auditing：*」という行は、Windows> VistaのSecurityセクションの送信を完全に無効にし、「Security-Auditing：4624」という行は、コード4624のイベントのみの送信を無効にします（ネットワークからコンピューターへの対話型アクセス、ネットワークからの閲覧） 。 悲しい皮肉なことに、新しい世代のサーバーオペレーティングシステムの新しいイベントログを開発するとき、Microsoftはパーティションとコードの名前を完全に変更し、標準メッセージと一般的にすべてのイベントを書き換えたため、Windows 2003世代とWindows 2008世代ではパーティションの名前と番号が変更されましたイベントは劇的に異なります。 ただし、多くの場合、それらは同じ意味を持ちます。 イベントとは、その名前と番号がサイトhttp://www.eventid.net/から見つけるのに便利なものを意味します 。

その後、Windowsサービスのリストを開き、「Eventlog to Syslog」というサービスを開始すると、サーバー上のファイルにsyslogdがほぼ次の形式で表示されます。

＃head -n 1 /var/log/local1.log
6月20日09:13:30 srv SRVセキュリティ監査：4634：アカウントがログオフされました。 件名：セキュリティID：S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-2304319227-3176アカウント名：XXXXXX $アカウントドメイン：XXXログオンID：0x325f90ecログオンタイプ：3このイベントは、ログオンセッションが破棄されたときに生成されます。 ログオンID値を使用して、ログオンイベントと正の相関関係がある場合があります。 ログオンIDは、同じコンピューターでの再起動間でのみ一意です。

おわりに

他に私が個人的にやったこと、そして正規表現に精通している管理者なら誰でも繰り返すことができること。

私自身のために、私はperlで実行中のログのループされたパーサーを書きました。
a）興味のないイベントを噛む：たとえば、ネットワークからコンピューターへのすべての同じ呼び出し（1つのコンピューターのネットワーク上でブラウジングすると、彼のネットワーク環境でこれに関するメッセージが表示されるすべてのコンピューターが発生しますが、これは実際にはサーバー上の大量のメッセージです）特に複数の場合）。 このような「面白くない」イベントのリストを作成するのにたった1日しかかかりませんでした。
b）興味のあるイベントに色を付けて、技術的な観点から人間の観点に変換します。たとえば、RDPを介したサーバーへのログインは青で表示され、上記で取り上げたようなログからの完全な行は書き込まれません。フォーム「 'xxx'（ip：xxxx）による 'XXX'によるリモートログイン」。

その結果、私は興味のあるものが常に強調表示され、これ以外に発生したすべてが書き込まれ、分解、理解、迅速な対応が本当に可能になるコンソールユーティリティを手に入れました。 テキストがめったに表示されない日中にたまにコンソールを見ることができますが、何かが起こったらすぐにキャッチできます。 たとえば、最近DHCPプールが終了し始め、DHCPプールが90％満杯で、2〜3日で動作しなくなるというDHCP（ドメインコントローラ上にある）からのメッセージをコンソールで見たときに、すぐにこのことを知りました。そして、誰かがネットに乗ることができないことを学びます。

さらに、このユーティリティを使用すると、保存したいイベントをデータベースに書き込み、何らかの方法で処理できます。
たとえば、最近（ハブ上）、誰が何を印刷したかの統計を作成する方法に関する記事が、野生のSNMPリープフロッグでありました。 私の場合、プリンターがサーバーに接続されて共有されている場合、この小さな問題は集中ログの全体的な解決可能なタスクの一部であり、印刷されたもののログは単に解決されるだけでなく、完全に解決されます。 実際、ログには、ページ数とIPアドレスに加えて、次のように書き込まれます。

-印刷者（ログイン）
-ドキュメント名

これは通常の企業統計であり、空の数字ではありません。データベースに収まります。月末に、誰が、何を、どこで、いつ、どれだけ見たいかを知りたい人に詳細なレポートを提供します。

これについて実際に言いたかったのはこれだけです。 電子メールとSMSでイベントに関するアラートを作成する可能性についてさらに暴言を発することは可能ですが、このトピックはすでに不要だと思います。 混合環境での管理における最も一般的なタスクの1つを解決するためのメカニズムとツールを説明したかったのですが、これを十分に行うことができたと思います。 ご清聴ありがとうございました。この場所をお読みになりましたか。