2. 程式人生 > >Windows事件日誌寫入SQL Server並PowerBI統計分析

Windows事件日誌寫入SQL Server並PowerBI統計分析

阿新 發佈:2018-06-19
subscript dev ignore otto tegra new 命令 comm run

在這裏我準備了2臺系統,一個Windows Server 2012 R2的域控服務器DC01,一臺SQL on CentOS7的SQL數據庫服務器

技術分享圖片

首先我使用SQL Manager Studio連接到SQL數據庫服務器創建需要存放Windows轉發事件日誌的數據庫“EventCollections”

CREATE DATABASE EventCollections

GO

USE EventCollections

GO

-- the table name loosely relates to the name of my Win Event Subscription name

CREATE TABLE [dbo].[GeneralEvents](

[Id] [int] NULL,

[LevelDisplayName] [varchar](255) NULL,

[LogName] [varchar](255) NULL,

[MachineName] [varchar](255) NULL,

[Message] [varchar](max) NULL,

[ProviderName] [varchar](255) NULL,

[RecordID] [bigint] NULL,

[TaskDisplayName] [varchar](255) NULL,

[TimeCreated] [smalldatetime] NULL

)

-- Create Unique Clustered Index with IGNORE_DUPE_KEY=ON to avoid duplicates in sqlbulk imports

CREATE UNIQUE CLUSTERED INDEX [ClusteredIndex-EventCombo] ON [dbo].[GeneralEvents]

(

[RecordID] ASC,

[MachineName] ASC,

[LogName] ASC

) WITH (IGNORE_DUP_KEY = ON)

GO

技術分享圖片

為了避免後面每小時導入一次日誌數據時出現重復,對RecordID,MachineName和LogName使用IGNORE_DUPE_KEY=ON創建唯一的聚集索引

接下來回到DC服務器配置事件服務

首先需要配置WinRM,顯示可用的偵聽器

winrm e winrm/config/listener

技術分享圖片

執行winrm get winrm/config

檢查

allowremoteAccess = true

技術分享圖片

在日誌源服務器(我們只有DC一臺服務器,使用這臺既是源也是收集日誌服務器)把network Service加入到Event Log Readers組裏

技術分享圖片

然後在日誌源服務器和收集日誌服務器執行如下命令:

wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

技術分享圖片

接下來打開事件查看器,點擊訂閱,這是會出現提示,是否啟用Windows事件收集器服務,點擊“是”

之間轉發使用的HTTP端口是5985

然後創建一個新的訂閱,指定需要收集的計算機,這裏輸入DC01

技術分享圖片

選擇需要訂閱哪些日誌,這裏我選擇System

技術分享圖片

選擇收集的事件級別

技術分享圖片

在高級裏指定收集日誌的帳戶為域管理員帳戶,然後確定

技術分享圖片

點擊用戶名密碼進行輸入

技術分享圖片

正常:每15分鐘

最小化帶寬:每6小時

最小化延遲:每30秒

確定

技術分享圖片

這樣就創建好一個收集系統日誌的訂閱了

技術分享圖片

按照同樣的方法再創建一個安全日誌的訂閱

技術分享圖片

如果要執行命令的審計日誌,可以開啟下面2個位置的組策略,然後通過事件ID4688查看

計算機配置 > 策略 > Windows 設置 > 安全設置 > 高級審核配置 > 詳細跟蹤>審核創建進程

技術分享圖片

管理 模板\系統\審核創建的進程\在創建事件的過程中包含命令行

技術分享圖片

備註:Microsoft不建議永久啟用命令行審核。啟用此功能後,對Windows安全事件的讀取訪問權限的任何用戶將能夠讀取任何成功創建的進程的命令行參數。請記住,命令行命令可能包含機密信息,包括密碼和其他用戶數據

等待15分鐘後事件查看器的已轉發事件裏就出現了我們訂閱的安全和系統日誌了

技術分享圖片

最後我在DC上執行如下PowerShell命令,將已轉發事件的日誌寫入SQL裏

  • 如果SQL是臺Windows並且加域,那麽可以采用集成身份驗證方式登陸,執行下面腳本

# While this script is intended to run on an hourly basis, the filter is set for going back 65 minutes.

# This allows the script to run for 5 minutes without any missing any events. Because we setup the

# table using the IGNORE_DUPE_KEY = ON, duplicate entries are ignored in the database.

$xml = @‘

<QueryList>

<Query Id="0" Path="ForwardedEvents">

<Select Path="ForwardedEvents">*[System[TimeCreated[timediff(@SystemTime) &lt;= 3900000]]]</Select>

</Query>

</QueryList>

‘@

$events = Get-WinEvent -FilterXml $xml | Select-Object ID, LevelDisplayName, LogName, MachineName, Message, ProviderName, RecordID, TaskDisplayName, TimeCreated

$connectionString = "Data Source=sqlserver;Integrated Security=true;Initial Catalog=EventCollections;"

$bulkCopy = new-object ("Data.SqlClient.SqlBulkCopy") $connectionString

$bulkCopy.DestinationTableName = "GeneralEvents"

$dt = New-Object "System.Data.DataTable"

# build the datatable

$cols = $events | select -first 1 | get-member -MemberType NoteProperty | select -Expand Name

foreach ($col in $cols) {$null = $dt.Columns.Add($col)}

foreach ($event in $events)

{

$row = $dt.NewRow()

foreach ($col in $cols) { $row.Item($col) = $event.$col }

$dt.Rows.Add($row)

}

# Write to the database!

$bulkCopy.WriteToServer($dt)

  • 如果是采用sa帳戶登陸就執行如下:

$xml = @‘

<QueryList>

<Query Id="0" Path="ForwardedEvents">

<Select Path="ForwardedEvents">*[System[TimeCreated[timediff(@SystemTime) &lt;= 3900000]]]</Select>

</Query>

</QueryList>

‘@

$events = Get-WinEvent -FilterXml $xml | Select-Object ID, LevelDisplayName, LogName, MachineName, Message, ProviderName, RecordID, TaskDisplayName, TimeCreated

$connectionString = "Data Source=sqlserver;user id=sa;pwd=password@1;Initial Catalog=EventCollections;"

$bulkCopy = new-object ("Data.SqlClient.SqlBulkCopy") $connectionString

$bulkCopy.DestinationTableName = "GeneralEvents"

$dt = New-Object "System.Data.DataTable"

# build the datatable

$cols = $events | select -first 1 | get-member -MemberType NoteProperty | select -Expand Name

foreach ($col in $cols) {$null = $dt.Columns.Add($col)}

foreach ($event in $events)

{

$row = $dt.NewRow()

foreach ($col in $cols) { $row.Item($col) = $event.$col }

$dt.Rows.Add($row)

}

# Write to the database!

$bulkCopy.WriteToServer($dt)

其中上面這段:

<QueryList>

<Query Id="0" Path="ForwardedEvents">

<Select Path="ForwardedEvents">*[System[TimeCreated[timediff(@SystemTime) &lt;= 3900000]]]</Select>

</Query>

</QueryList>

取自於已轉發事件的“篩選當前日誌”

技術分享圖片

XML內容

技術分享圖片

執行完成以後可以到SQL去檢查日誌是否已經寫進SQL

select * from GeneralEvents

可以看到日誌成功寫入SQL裏

技術分享圖片

最後就是做一個Windows計劃任務把上面的Powershell腳本每隔1小時自動執行一次了

把上面成功執行的腳本保存成ps1文件,並把這個文件剪切到C盤根目錄下

技術分享圖片

打開任務計劃程序,創建一個基本任務

技術分享圖片

下一步

技術分享圖片

選擇每天

技術分享圖片

下一步

技術分享圖片

啟動程序

技術分享圖片

在程序裏選擇powershell的啟動路徑C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

參數添加-command ". ‘c:\event-into-sql.ps1‘"

技術分享圖片

勾選“但單擊“完成”時,打開此任務屬性的對話框”,然後完成

技術分享圖片

設置執行該計劃任務的帳戶,以及權限

技術分享圖片

在觸發器裏修改每日為如下圖所示

技術分享圖片

確定,創建完成

技術分享圖片

到這裏就大功告成了。既然事件日誌都寫入SQL了,那麽就可以利用PowerBI Desktop去讀取SQL的數據進行事件日誌統計分析了,如下圖:

技術分享圖片

Windows事件日誌寫入SQL Server並PowerBI統計分析

相關推薦

Windows事件日誌寫入SQL ServerPowerBI統計分析

subscript dev ignore otto tegra new 命令 comm run 在這裏我準備了2臺系統,一個Windows Server 2012 R2的域控服務器DC01,一臺SQL on CentOS7的SQL數據庫服務器 首先我使用SQL Manag

深入解密.NET(Windows事件日誌

深入 get dex eventlog logs clas per windows ces 測試 using System; using System.Diagnostics; namespace WindowsConsoleApp { //測試

為什麽要使用日誌管理?-syslog和Windows事件日誌

應該 告警 條件 收集日誌 而且 靈活 為什麽 防篡改 .html 為什麽要使用日誌管理?syslog和Windows事件日誌 日誌管理 - 確保網絡安全的先決條件日誌給予您有關網絡活動的第一手信息。日誌管理確保日誌中隱藏的網絡活動數據轉換為有意義的可操作的安全信息。日誌管

Windows事件日誌報表 怎樣備份數據庫?

text 報表 ces 日誌報表 tex com 51cto proc 事件日誌 Windows事件日誌報表 怎樣備份數據庫?

syslog系統日誌Windows事件日誌監控

fff 技術 window oss jpg ESS term 日誌 cee syslog系統日誌、Windows事件日誌監控

C#連線sql server讀取表資料

     引入sql客戶端的dll using System.Data; using System.Data.SqlClient; SqlConnection con = new SqlConnection();       &nb

.netcore中使用EFCore連線SQL Server部署至Ubuntu

前面一篇記錄瞭如何在windows下開發asp.net core程式,並部署至ubuntu系統中。但僅僅是建立了一個demo專案,專案本身並沒有實現多少功能。多數時候,我們的專案是要和資料庫打交道。EntityFramework作為微軟提供的基於ADO.NET的ORM解決方案,在dotnet core中,輕量

C#連線SQL Server查詢資料

用C#連線本地SQL Server 查詢資訊 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Task

Windows事件日誌詳解--登陸型別

windows 安全日誌時,經常發現登入型別的值不同。有2,3,5,8等。最常見的型別是 2 (互動式)和 3 (網路)。 下面詳細列出了可能的登入型別值 登入型別2:互動式登入(Interactive) 這應該是你最先想到的登入方式吧,所謂互動式登入就是指使用者在

windows下 C++連線SQL Server 到底用什麼驅動?

亂說幾句。我現在認為,寫部落格不要怕錯,錯誤肯定是有的,一個人的水平不高的情況下,就像我,肯定會有錯誤的地方。但是你不寫出來,就不錯了麼?所以寫出來,不要怕,可能對別人有點幫助,也可能別人幫助你指出錯

網站通過Windows身份驗證連線SQL Server,釋出到IIS後無法連線的問題

作業系統使用的是WIN7,IIS版本為7.5,其他IIS版本未做測試,不一定適用本文所述方法。 之前用ASP.NET做了一個小網站,通過Windows身份驗證來連線SQL Server資料庫。 在開發環境中使用時也一直沒有問題。 然而,把網站釋出到IIS上進行測試的時候出

部署SQL Server Analysis Service (分析服務): 帳戶名稱與安全性識別碼無法對應

     之前建立的SQL Server的分析服務的工程,未發生任何異常。但是最近對其中的內容做了一些修改,再次部署的時候,總是提示:賬戶名稱與安全性識別碼無法對應。      首先以為是賬號許可權不足,檢查之後發現沒有問題。      接下來以為是啟動Analysis S

SQL Server(MSSQLSERVER) 請求失敗或服務未及時響應,有關詳細資訊,請參見事件日誌或其他的適用的錯誤日誌

問題 有時候sqlserver無法啟動了,原因是mssqlserver服務沒有啟動,當你手動啟動時,又出現服務無法響應的可惡錯誤提示。。。 筆者“有幸”遇到了,我的原因是第5個,禁用TCP/IP協議,現在總結下可能的原因及解決方案 解決方案

windows server 2008 R2 SP1 安裝SQL Server 2008 R2時提示 "此操作系統不支持此版本的 SQL Server 版本"

企業版 支持 span ask 原因 提示 64位 福利 版本 windows server 2008 R2 SP1 安裝SQL Server 2008 R2時提示 "此操作系統不支持此版本的 SQL Server 版本" 原因: 安裝的時候輸入了標準版的key ,

SQL Server 檢測到基於一致性的邏輯 I/O 錯誤 pageid不正確、數據庫日誌文 件丟失

日誌文件 科技 文件丟失 i/o 處理 企業管理 eid dbcc 無法連接 客戶名稱:深圳某科技信息有限公司 數據庫類型:sql2000 數據庫大小:20g 故障經過 電腦突然斷電,軟件就顯示某數據庫錯誤,無法連接,打開企業管理器,顯示數 據庫質疑,DBCC查詢顯示“ S

【轉】 windows進程創建 事件日誌

設置 net.exe cnblogs net png 最終 十進制 window 時間段 審核進程創建 打開“本地組策略(gpedit.msc)”,左側列表打開“計算機配置——Windows 設置——安全設置——高級審核策略配置——系統審核策略——詳細跟蹤”,右側雙擊“審核

SQL server 2012 安裝SQL2012出現報錯: 啟用 Windows 功能 NetFx3 時出錯

mod 功能 安裝失敗 .com sof feature rac ack sql 2012 在window server 2012服務器上,安裝 SQL Server 2012的過程中,報了一個錯誤,一個安裝失敗, 在安裝SQL 2012的過程中。出現下面錯誤:啟

SQL Server根據表或視圖批量生成插入語句BCP導出成文本

lower row 創建 index .sql temp length and 空格 --聲明變量 DECLARE @TableName VARCHAR(100),@RunStr VARCHAR(MAX),@RunRC VARCHAR(MAX),@FinalRun VA

Windows 2008服務器環境PHP連接SQL Server數據庫的配置及連接方法

word ref 網關 sage 軟件 代碼 正文 服務器 安全 背景:   PHP程序常用的數據庫是Mysql數據庫,但是由於實際項目需要,要求PHP網站連接SQL Server數據庫查詢一些必要信息。因此,本文就來給大家介紹一下如何安裝及配置PHP擴展,可以實現PHP利

SQL Server 2008如何創建分區表,壓縮數據庫空間

tempdb -a add 增刪改 https 訪問 lena 區域 lin 1、什麽是分區表  分區表在邏輯上是一個表,而物理上是多個表。從用戶角度來看,分區表和普通表是一樣的。使用分區表的主要目的是為改善大型表以及具有多個訪問模式的表的可伸縮性和可管理性。分區表是把數