Eventlog Umleiten in eine SQL Server Datenbank

[Maik 10]

Hallo ans Board,

ich habe eine Frage, ob man das Eventlog an einen SQL Server umleiten kann. Dieses soll wohl funktionieren, aber ich finde keine Beschreibung dafür. Es steht seitens der GF die Anforderung, die Eventlogs zentral in einer DB aufzubewahren in getrennt von den Berechtigungen der Admins in der SQL Datenbank zu Archivieren. Hat dieses schon einmal jemand eingerichtet und weiß, welche Dinge beachtet werden müssen?

 

Vielen Dank an Euch

[PowerShellAdmin 169]

Hi,

also prinzipiell kann man sich das selber machen.

Du könntest die Eventslog per WMI oder PS auslesen und dann z.B. anpassen und in eine angepasste Datenbank abspeichern.

(z.B. per PowerShell Skript als Task).

 

Gibt auch fertige Lösungen z.B. Automated Collection and Storage of Windows Event logs | WhatsUp Gold Event Archiver

Oder hier auch eine Anleitung:

http://www.faq-o-matic.net/2011/03/21/eventlog-backup-mit-log-parser/

 

 

Grüße Admin

[Maik 10]

Danke, aber dabei habe ich noch immer mehrere Komponenten dazwischen.. Taskplaner, Logparser usw. Es muss eine Lösung geben, die das Eventlog direkt per Schnittstelle in eine Datenbank schreibt. Also nicht erst per Logparsing ausliest. Leider haben wir diese Anforderung aus Securitysicht.

[PowerShellAdmin 169]

Hm...

was spricht gegen einen Skript der per WMI oder PS die Daten ausliest und sammelt. Das Ganze läuft als Task.

 

Ich würde einen PS Skript erstellen und diesen per Task ausführen - Alternativ vielleicht auch per SQL Task.

 

Oder ist dir das auch nicht "sicher" genug - Wäre jedenfalls ohne Fremdkomponenten :)

 

Grüße Admin

[Maik 10]

Aus Gründen der Sicherheit. Der Auditor würde sagen: Wie stellt man sicher, dass der Win Admin das Script nicht verändert, den Task nicht editiert bzw. modifiziert. Innerhalb der Auditierung wäre dieses nicht ganz sauber.. Leider :-(

[PowerShellAdmin 169]

Du kann die PowerShell Policy auf dem System anpassen, so dass nur signierte Skripte ausgeführt werden.

Passt man den Skript nachträglich an, dann ist die Prüfung fehlerhaft -> PS wird nicht ausgeführt.

Das Zertifikat liegt dann natürlich beim "Genehmiger" und dieser signiert dir dann deinen Skript bei Bedarf neu.

Allerdings kannst du ein gültiges Zertifikat kaufen und den Code selbst signieren.

In wie weit man die Zertifikatskonfiguration verschärfen kann ist mir an der Stelle nicht klar.

 

Unabhängig davon kann ein Admin im Regelfall immer alles - Er kann an der Stelle auch einfach den SQL Server ausschalten oder die Policty für die PS runtersetzen^^

 

Sinn macht sowas nur, wenn der Skript/Überwachungsverantwortliche != Administrator auf dem System ist. Wenn es die selbe Person ist kann man es ja drehen wie man will...

 

Grüße Admin

[Maik 10]

Ja das ist schon richtig.. Aber: Der SQL Admin administriert unabhängig die Datenbanken. Somit ist es getrennt. Im Fehlerfall soll das Eventlog im Archiv genutzt werden, lesend. Der SQL Server ist geklustert und wird per SCOM überwacht. Fällt etwas aus entsteht ein Incident..

[Maik 10]

Hat denn niemand eine Idee für die Konfiguration? Die Daten in Logs zu schreiben und dann auszulsesen ist nicht unbedingt die beste Lösung.

[PowerShellAdmin 169]

Du kannst doch per WMI direkt auf die Logs zugreifen, sollte auch aus den SQL Server herausgehen oder liege ich hier falsch ? - Den Umweg einer CSV/LOG lokal kannst du dir sparen.

 

Ein Skript der im Agent läuft und darin direkt die Logs per WMI ausliest und in die Datenbank schreibt ist bestimmt machbar.

(SQL Task z.B. der die Regelmäßig zieht und bereinigt) - SQL CMD ermöglicht ja den Aufruf von weiteren Anwendungen.

[Maik 10]

Ich habe dieses von einen MS Insight Engen. gehört. Unter W2k8 soll das Ereignislog diese Funktion unterstützen und direkt in die Eventlogs und gleichzeitig in eine DB schreiben. Leider habe ich dieses noch nicht gesehen, wie das gehen soll. Dieses also ohne separate Scripts, Tasks, usw..