У нас на обслуживании находится более 1000 клиентских серверов с Windows Server. Все серверы мониторятся единым Zabbix, но, до недавнего времени, единая система сбора журналов событий Windows отсутствовала.
ИТ-инженерам приходилось заходить на каждую ВМ, чтобы просматривать логи по тем или иным инцидентам. Это довольно неудобно, поскольку виртуальных машин нужно просмотреть много, а единого окна нет.
Поэтому было внедрено решение Elastic Stack + Grafana, для того, чтобы обеспечить централизованный сбор, хранение и обработку логов Windows, а также единое окно просмотра данных (Grafana).
Для того, чтобы не собирать лишнюю информацию, в конфигурационном файле агента прописаны только те категории событий, которые нужны обычно для анализа инцидентов. В нашем случае это Application, Security и System. Для Application и System собираются уровни critical и error, а для Security только определенные id событий, например, неудачная попытка аутентификации (id 4625).
👉 Если вам нужно внедрить систему сбора логов, оставьте заявку
Подписывайтесь на наш telegram!
