公司有2臺window服務器,需要收集日誌,到阿里雲日誌服務器中進行監控,需求如下:
1,需要監控2臺windows服務器。
2,監控用戶的登錄,登出,以及文件操作(主要是增加,刪除)
需求分析:
1,window日誌類型分析
window日誌主要分爲三個channel:Application、Security、System。
1.1 Security
記錄系統的安全審計事件,包含各種類型的登錄日誌、對象訪問日誌、進程追蹤日誌、特權使用、帳號管理、策略變更、系統事件。安全日誌也是調查取證中最常用到的日誌。默認設置下,安全性日誌是關閉的,管理員可以使用組策略來啓動安全性日誌,或者在註冊表中設置審覈策略,以便當安全性日誌滿後使系統停止響應。
1.2 Application
包含由應用程序或系統程序記錄的事件,主要記錄程序運行方面的事件,例如數據庫程序可以在應用程序日誌中記錄文件錯誤,程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況,那麼我們可以從程序事件日誌中找到相應的記錄,也許會有助於你解決問題。
1.3 System
記錄操作系統組件產生的事件,主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日誌中記錄的時間類型由Windows NT/2000操作系統預先定義。
2 , windows日誌事件分析
從日誌類型我們可以看出,對於用戶的操作和登錄日誌主要是在Security中。接下來分析日誌事件,找出哪些是用戶的行爲操作和登錄事件,
查看系統日誌方法:
在“開始”菜單上,依次指向“所有程序”、“管理工具”,然後單擊“事件查看器”
按 “Window+R”,輸入 ”eventvwr.msc“ 也可以直接進入“事件查看器”
通過實際操作,刷選出如下id:
4624 登錄成功
4625 登錄失敗
4634 註銷成功,
4663 文件操作。通過對事件的分析,我們可以瞭解文件中發生了什麼類型的活動,例如,文件是否已被讀取,刪除或修改過
需求實現
從分析中我們可以得到,通過logtail這個插件進行日誌的收集,並進行清洗我們需要的日誌。
在這個過程中需要了機logtail這個工具的實現流程,交互方式和具體配置。
這裏做個簡單的總結:
logtail確實很牛逼,它集合了ELK的日誌採集,轉發過濾和展示於一體,只需要將插件安裝在對應的服務器中,啓動自然會將日誌進行收集,在阿里雲中配置接收地址,配置簡單明白。有強大的輸入數據源解析,過濾的功能。
這個阿里雲日誌的文檔很齊全,具體文檔可以參考如下:
使用阿里雲日誌服務器,根據教程安裝logtail:
1,安裝Logtail(Windows系統)
https://help.aliyun.com/document_detail/49006.html?spm=a2c4g.11186623.6.600.3c733d0eXrNsvd
注意事項:
1,根據服務器類型和所在區域選擇網絡類型。我們的windows服務器是非阿里雲服務器。需要用公網。
2,爲非本賬號ECS、自建IDC配置主賬號AliUid。
3,window的創建主賬號爲名稱的文件不是txt格式。是文件。無後綴否則會報錯。
2,創建IP地址機器組
https://help.aliyun.com/document_detail/28966.html?spm=a2c4g.11186623.6.604.3ed85781SS9eOj
3 管理機器組
https://help.aliyun.com/document_detail/49011.html?spm=a2c4g.11186623.6.608.4ed5502c2Lunrs
4,window事件日誌採集配置
https://help.aliyun.com/document_detail/101177.html?spm=a2c4g.11186623.6.631.1a004b7aV1VZBC