Windows Eventlogs - Zentrale Speichern
Guten Tag zusammen,
gibt es eine Möglichkeit die Windows Eventlogs von Clients Zentrale zu speichern? Würde gerne spezifische Eventlogs speichern von allen Clients, an einem Speicherpunkt z. B. ein SMB Share. Die Eventlogs sollen auf den Clients z. B. auch nicht länger als 7 Tage existieren. Habt ihr Ideen, wie ich das umsetzten könnte?
Ich habe bereits auf YouTube mal geschaut bezüglich des Themas aber habe leider nicht wirklich etwas gefunden, könnte mir gut vorstellen, dass dies mit GPOs Funktionieren könnte, nebenbei wir sind der Zeit in Azure bedeutet sollte Azure vielleicht ein Tool/App bereits zur Verfügung stellen lasst es mich gerne wissen.
gibt es eine Möglichkeit die Windows Eventlogs von Clients Zentrale zu speichern? Würde gerne spezifische Eventlogs speichern von allen Clients, an einem Speicherpunkt z. B. ein SMB Share. Die Eventlogs sollen auf den Clients z. B. auch nicht länger als 7 Tage existieren. Habt ihr Ideen, wie ich das umsetzten könnte?
Ich habe bereits auf YouTube mal geschaut bezüglich des Themas aber habe leider nicht wirklich etwas gefunden, könnte mir gut vorstellen, dass dies mit GPOs Funktionieren könnte, nebenbei wir sind der Zeit in Azure bedeutet sollte Azure vielleicht ein Tool/App bereits zur Verfügung stellen lasst es mich gerne wissen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4223755793
Url: https://administrator.de/forum/windows-eventlogs-zentrale-speichern-4223755793.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
10 Kommentare
Neuester Kommentar
Moin,
wenn du schon in Azure bist, kannst Du einen Log Analytics Workspace verwenden.
Dort müsstet du on-prem nur von Hand die Agents verteilen und entsprechende Firewall Freigaben tätigen.
Eleganter könntest Du es mit Azure ARC lösen. Wenn du hier mit einem Gateway arbeitest (z.B. Windows Admin Center) verteilt dieser automatisch die ARC Agents, worüber die Agents für Log Analytics nachgeladen werden.
Beachte, dass der Log Analytics nur Daten sammelt und diese mit Zeitstempel speichert / verarbeitet. Du wirst mittels KQL (Kusto Query Language) eigene Abfragen schreiben müssen, wenn du bestimme Infos aus diesen Daten herausziehen willst.
Außerdem kostet der Spaß auch den einen oder anderen Euro. Log Analytics Daten werde wie gesagt aufarbeitet und zusammenführt.
Aktuell liegt der Preis bei 4,037EUR pro Gigabyte (Bei Nutzungsbasierter Bezahlung)
Die ersten 5GB pro Monat sind dabei immer kostenlos
Je nachdem wie viele Events die Hosts erzeugen und wie viel Du davon rausziehst, kannst du mit 5-15MB pro Tag pro Maschine rechnen.
Ist dir das alles zu teuer, zu doof, zu viel Cloud, kannst Du dir sowas auch selbst mit InfluxDB bauen.
wenn du schon in Azure bist, kannst Du einen Log Analytics Workspace verwenden.
Dort müsstet du on-prem nur von Hand die Agents verteilen und entsprechende Firewall Freigaben tätigen.
Eleganter könntest Du es mit Azure ARC lösen. Wenn du hier mit einem Gateway arbeitest (z.B. Windows Admin Center) verteilt dieser automatisch die ARC Agents, worüber die Agents für Log Analytics nachgeladen werden.
Beachte, dass der Log Analytics nur Daten sammelt und diese mit Zeitstempel speichert / verarbeitet. Du wirst mittels KQL (Kusto Query Language) eigene Abfragen schreiben müssen, wenn du bestimme Infos aus diesen Daten herausziehen willst.
Außerdem kostet der Spaß auch den einen oder anderen Euro. Log Analytics Daten werde wie gesagt aufarbeitet und zusammenführt.
Aktuell liegt der Preis bei 4,037EUR pro Gigabyte (Bei Nutzungsbasierter Bezahlung)
Die ersten 5GB pro Monat sind dabei immer kostenlos
Je nachdem wie viele Events die Hosts erzeugen und wie viel Du davon rausziehst, kannst du mit 5-15MB pro Tag pro Maschine rechnen.
Ist dir das alles zu teuer, zu doof, zu viel Cloud, kannst Du dir sowas auch selbst mit InfluxDB bauen.
Zitat von @NETLeon:
gibt es eine Möglichkeit die Windows Eventlogs von Clients Zentrale zu speichern?
Winlogbeat/Elastic Agent mit Elastic könnte man als Datensammelpunkt benutzen.
Hallo,
als Basis mit Windowsbordmitteln geht das auch. siehe Turuorial Eventlogarchivierung mit Powershell DSC
Grüße
lcer
als Basis mit Windowsbordmitteln geht das auch. siehe Turuorial Eventlogarchivierung mit Powershell DSC
Grüße
lcer
Zitat von @mbehrens:
Winlogbeat/Elastic Agent mit Elastic könnte man als Datensammelpunkt benutzen.
Zitat von @NETLeon:
gibt es eine Möglichkeit die Windows Eventlogs von Clients Zentrale zu speichern?
Winlogbeat/Elastic Agent mit Elastic könnte man als Datensammelpunkt benutzen.
Ja, das funktioniert super, Elastic-Search Cluster mit 2 Nodes und Kibana zur virusalisierung, damit haben wir auch angefangen, sind mittlerweile auf kommerzielle Tools gewechselt, da der Kollege für das Reporting / Anpassungen sich was neues gesucht hat :x