03 octubre 2013

Opciones para enviar logs de un sistema Windows a un syslog remoto

Esta es una de esas entradas que quedarán en vuestros enlaces guardados, donde se revisan algunas utilidades que seguramente ahora no os hagan falta, pero que antes o después acabareis por aquí tras unas búsquedas en Google.

Recientemente he tenido que evaluar las opciones para mandar los registros de un sistema Windows a un servicio syslog remoto. Para enviar los clásicos eventos del sistema operativo (Aplicación, Seguridad, Instalación y Sistema) existen bastantes aplicaciones, como EvtSys, pero cuando se trata de usar archivos de texto, como por ejemplo los accesos de un servidor web o una base de datos, se requiere de herramientas no tan genéricas y obvias.

Para este propósito he encontrado tres alternativas gratuitas, que os cuento para ahorraros en algún futuro este trabajo.


Tal vez sea la herramienta más conocida, el agente de InterSect Alliance ofrece una versión opensource de su producto Enterprise con algunas limitaciones que se pueden ver en su página web. Por desgracia, esta utilidad levanta un servicio web para configurar el agente (?), además estas opciones no son demasiado versátiles.

Snare Epilog de InterSect Alliance


CorreLog Windows Agent

La compañía CorreLog dispone de un agente gratuito (tras previo registro) que lleva a cabo lo que se espera, enviar ficheros de logs y los eventos del sistema. La configuración se lleva a cabo mediante un fichero de texto (pdf con el manual) parecido al que se puede encontrar en un sistema Unix y es bastante potente. Se instala como un servicio y tiene alguna característica adicional interesante, como la posibilidad de registrar las aplicaciones que se abren en el sistema.


Panel de control de CorreLog Windows Agent

Datagram SyslogAgent

Pese a su aspecto, la aplicación que mejores resultados y mayor sencillez y flexibilidad ha mostrado es SyslogAgent de Datagram. Se instala como un servicio y permite configuración mediante el registro. No tiene un desarrollo muy activo pero tampoco parece que le haga falta. Está basada en la antigua NTSyslog y se distribuye con licencia GNU. También dispone de una caché que almacenará los eventos en caso de que el servidor remoto esté caído.

Pantalla principal de Datagram SyslogAgent


6 comments :

alfred dijo...

Pues por casualidades del destino algo así estaba buscando yo hoy :) Búsqueda en google ahorrada, me pongo a ello.

txalin dijo...

Jo, si lo llego a saber mandó lo que hice hace un par de años para un cliente, me haría ilusión tenerlo publicado aqui :D

Respecto al tema del post, si tenemos los logs en el visor de eventos de windows (y si no los tenemos se pueden enviar), version 2008 hacia adelante, no hace falta instalar nada, el propio win 2008 server tiene un redireccionador de syslog bastante majo, te permite desde reenviar los eventos a una maquina X hasta montar varios sevidores a modo de "sondas" y otro win 2008 que actue a modo de recolector y reenviador al syslog central. Es bastante fácil de configurar y no necesitas tener instalado software de terceros en un servidor.

Aqui hay una guía bastante maja: http://www.sysadminlab.net/windows/forward-event-log-from-several-server-to-a-central-windows-2008-server

tayoken dijo...

En cuanto a desarrollo a medida, para windows lo mejor que he probado para usar como agente syslog es Log4net, pero supongo que todo el mundo lo conoce.

Nyek dijo...

Me sorprende que nadie haya mencionado http://www.splunk.com Todo un centro de control de análisis de datos multiplataforma.

Alejandro Ramos dijo...

No te sorprenda, el post es sobre agentes para Windows, una de las mini partes de una gestión de logs, no sobre soluciones completas o sistemas tipo SIEMs, donde nada tiene que ver las que se listan aquí...

Angel dijo...

Efectivamente txalin tiene toda la razón en los sistemas de Microsoft eta disponible la configuración de suscripciones que permiten recibir los logs de otros equipos: Configure Computers to Forward and Collect Events http://technet.microsoft.com/en-us/library/cc748890.aspx y se pueden configurar algunas cosas interesantes, utilizar https configurar distintas suscripciones y asociar tareas a ciertos eventos.
Aun asi lo interesante es siempre conocer distintas opciones y utilizar la que mejor se acomode a cada necesidad, me gusto el artículo y había varias herramientas que no conocía, gracias Alex!!!