Gdzie mogę znaleźć szczegółową specyfikację niskiego poziomu dla binarnego pliku binarnego Perfmon? A może jeszcze lepiej, czy ktokolwiek napisał niskopoziomową bibliotekę open source (najlepiej w C, ale w jakimkolwiek innym języku) do parsowania plików .blg?Perfmon plik specyfikacji pliku/parsowania biblioteki
Odpowiedz
To nie pomoże w oczekiwaniu na dane historyczne, ale jeśli masz dostęp do systemów działających Perfmon, można zajrzeć do Logman. Za pomocą Logmana możesz ustawić liczniki wydajności ORAZ określić format wyjściowy, w ten sposób możesz wybrać format, który można łatwo przeanalizować. Zobacz opcję -f
:
-f { bin | bincirc | csv | tsv | SQL } : Specifies the file format used for collecting performance counter and trace data. You can use binary, circular binary, comma and tab separated, or SQL database formats when collecting performance counters.
Jak mówili inni, jeśli masz również zapisów historycznych musisz analizować można użyć narzędzia Relog konwertować istniejący .blg pliki do bardziej użytecznej formie.
Istnieje narzędzie o nazwie relog, które może przekonwertować te pliki na CSV lub inne formaty.
http://blog.bennett-scharf.com/2008/12/17/converting-an-existing-perfmon-blg-file-to-csv/
http://blogs.msdn.com/b/adcman/archive/2006/05/15/598149.aspx
http://blogs.msdn.com/b/granth/archive/2008/09/23/relogging-perfmon-binary-log-files-to-sql.aspx
Tak, wiem o ponownym zalogowaniu. Ale powodem, dla którego chcę mieć specyfikację niskiego poziomu, jest to, że chcę uniknąć używania relog. Moim zadaniem jest zastosowanie algorytmów eksploracji danych do ogromnych zbiorów danych dziennika. –
Inną opcją jest eksport Collection perfmon Zestaw danych jako szablon, i zmienić format pliku dziennika w formacie XML - poszukaj tagu LogFileFormat i zmień wartość z formatem preferencjami
0 = CSV , 1 = TSV, 2 = SQL, 3 = domyślny format binarny.
Szukałem sposobu na włączenie danych PerfMon do SIEM i okazało się, że najlepszym sposobem na to było uzyskanie perfmon do zalogowania się do SQL DB (i odczytanie danych z widoku SQL, od agenta SIEM) to.
Nie mogę powiedzieć wiele o innych produktach, ale w LogRhythm SIEM potrzebujesz do tego celu źródła dziennika "UDLA" (uniwersalny adapter protokołu bazy danych) - a jeśli chcesz analizować/kontekstować metadane, Potrzebują niektórych reguł parsowania (np. regex) dla tego, co zwraca zapytanie.
Jest to użyteczne, aby zobaczyć takie rzeczy jak „jeśli istnieje x liczbę błędów logowania, i korzystać MBytes jest mniejsza niż 100, następnie uruchom alarm regułę/AIEngine«Za mało pamięci do procesu logowania»”.
To całkiem kiepski przykład, ale masz pomysł.
Możesz również spojrzeć na inne rzeczy, które mają potencjalnie złośliwe wyjaśnienie, a także łagodne wyjaśnienie.
Na przykład - jeśli widzisz dużą liczbę nieudanych prób resetowania haseł, może to zazwyczaj oznaczać pewne złośliwe zachowanie - ale nie, jeśli zobaczysz liczniki perfmonów informujące, że kontroler domeny ma w sumie mniej niż 1000 bezpłatnych PTE systemów (co prawda jest mało prawdopodobne w 64-bitowym systemie operacyjnym) lub jeśli zużycie procesora przekracza 95%. W takim przypadku nie musi to być kwestia bezpieczeństwa, jest to problem z obciążeniem/pojemnością - lub coś jest nie tak z twoim DC.
- 1. Perfmon-like dla systemu Linux?
- 2. Liczniki Perfmon do sprawdzania wycieku pamięci
- 3. Proguard ignoruje plik konfiguracyjny biblioteki
- 4. Jak mogę pobrać plik poprzez etykietę w specyfikacji konfiguracyjnej?
- 5. Wymuszenie przeładowania plików biblioteki wymaganych przez automatycznie załadowany plik biblioteki
- 6. Sposób sekwencyjnego uruchamiania specyfikacji
- 7. Procedura specyfikacji pakietu
- 8. Wzorzec specyfikacji i wydajność
- 9. Znajdowanie specyfikacji .NET
- 10. Do czego służy plik .lai biblioteki libtool?
- 11. Wyodrębnij plik ZIP programowo z biblioteki DotNetZip?
- 12. Dlaczego perfmon nie może zobaczyć wystąpień mojego niestandardowego licznika wydajności?
- 13. Wiosna Dane Dołącz do specyfikacji
- 14. Uzasadnienie wprowadzenia specyfikacji chronionego dostępu
- 15. niezdefiniowana metoda "tworzenie" specyfikacji szyn.
- 16. Funkcje pomocnicze w specyfikacji Kiwi
- 17. Specyfikacje kontrolera kontra żądania specyfikacji?
- 18. Uboczny cookie w żądaniu specyfikacji
- 19. Czytanie ze specyfikacji dynamicznego klucza
- 20. Jak używać specyfikacji CoffeeScript z Jasmine-Rails
- 21. Przekazywanie formatu jako parametru do specyfikacji rake
- 22. Jak sprawdzić, czy plik projektu Visual Studio reprezentuje projekt aplikacji, biblioteki DLL lub biblioteki statycznej?
- 23. Plik specyfikacji RPM - czy możliwe jest dynamiczne wypełnianie zmiennej pliku spec
- 24. Jak naprawić ten błąd? config.gem: Rozpakowana gem Authlogic-2.1.3 w vendor/gems ma plik specyfikacji
- 25. Czy plik versionCode/versionName jest wymagany w manifeście biblioteki?
- 26. Czy można (ponownie) utworzyć plik PDB po utworzeniu biblioteki DLL?
- 27. Jak odtwarzać plik biblioteki iPoda w odtwarzaczu AVPlayer
- 28. Jak mogę wyeksportować plik mp3 z biblioteki iPoda urządzenia iOS?
- 29. Plik dźwiękowy Java .poprawny .wav bez biblioteki osób trzecich.
- 30. Jak odczytać plik .xlsx przy użyciu biblioteki pandy w iPythonie?
Nie sądzę, że znajdziesz ten format, ale w systemie Windows nadal można otworzyć i odczytać plik dziennika za pomocą C, myślę, że przy użyciu biblioteki PDH. Czy znasz ten http://www.microsoft.com/msj/1299/pdh/pdh.aspx? –