Архивирование журналов событий Windows NT

У вас есть возможность архивировать журналы событий Windows NT в их собственном формате.
(.evt), текстовый формат или формат с разделителями-запятыми. Что лучше? нет простого
отвечать. Это действительно зависит от того, почему вы архивируете эти журналы.

Формат .evt имеет то преимущество, что все возможные данные
в том числе двоичные данные сохраняются. Одним из недостатков является то, что данные могут быть только
просматриваться по одному файлу журнала за раз и только средством просмотра событий. Если старые журналы.evt
просматриваются позже, возможно, отображаемые описания будут
не соответствует тому, что было бы видно, если бы журнал.evt был просмотрен в момент
во время, когда файл.evt был заархивирован. Описания хранятся в файлах .dll операционной системы, а не в данных.evt.
В зависимости от того, когда просматриваются архивы, «верность на момент архивирования»
вызывает сомнения. Если вы делаете резервную копию сервера и журналов событий и используете
восстановленный сервер для просмотра восстановленных журналов событий, точность того, что вы
просмотр гарантирован. Держите много лент. Убедитесь, что вы можете восстановить
сервер в архиве. Это удовлетворит самые строгие юридические и судебные экспертизы.
требования, ЕСЛИ цепочка контроля сохраняется. Если ленты сброшены и
хранится под контролем, забудьте об этом.

Q165959 — Чтение файла, сохраненного с помощью средства просмотра событий другого компьютера
Q157399 — Несогласованные описания при использовании средства просмотра событий

Текстовые форматы и форматы с разделителями-запятыми отбрасывают двоичные данные.
которые могут быть неуместны для судебно-медицинских или юридических требований. с разделителями-запятыми
данные можно легко перемещать в базы данных, такие как SQL, для централизованной обработки. Это
можно вручную или программно обрабатывать такие централизованные данные для
паттерны деятельности (вторжения), которые сложны или невозможны по отдельности.
Этот подход используется во все большем количестве коммерческих продуктов. Текстовый формат имеет
преимущество простоты. Это также может быть отправной точкой для обработки с использованием
зрелые Unix-ориентированные утилиты для обработки данных. Смешанная ситуация – использование
таких инструментов, как dumpel.exe, которые могут создавать дамп файла журнала событий
данные. Он сбрасывает текстовые данные и переводит большую часть шестнадцатеричных данных в читаемые.
текстовые форматы.

Мое последнее замечание заключается в том, что это не ситуация «или-или». Сохраните свой
полные резервные копии контрольных точек и использовать извлеченный текст или копии с разделителями-запятыми для
программная обработка. С точки зрения чистой безопасности извлечение журналов событий
к базам данных sql для анализа безопасности является лучшей практикой.

Ознакомьтесь с этими коммерческими продуктами, поддерживающими централизацию данных журнала событий.
к базам данных sql:
EventAdmin Аэлиты

Советы по журналу событий:

Архивирование журналов событий
Объяснение журнала событий
Как удалить поврежденные файлы журнала просмотра событий
Судебная экспертиза: CrashOnAuditFail
Ограничить доступ к журналам приложений и системных событий
Описание событий безопасности
События безопасности Определения типов входа в систему
Расположение журнала безопасности
Подавить сообщения журнала событий браузера
Подавить Предотвратить регистрацию заданий на печать
Системные события в NT4 SP4
Аутентификация пользователя в Windows NT
Права пользователя, определение и список

Фрэнк Хейн сделал
доступен FAQ по журналу событий Windows NT.