Gdzie mogę znaleźć szczegółową specyfikację niskiego poziomu dla binarnego pliku binarnego Perfmon? A może jeszcze lepiej, czy ktokolwiek napisał niskopoziomową bibliotekę open source (najlepiej w C, ale w jakimkolwiek innym języku) do parsowania plików .blg?Perfmon plik specyfikacji pliku/parsowania biblioteki
To nie pomoże w oczekiwaniu na dane historyczne, ale jeśli masz dostęp do systemów działających Perfmon, można zajrzeć do Logman. Za pomocą Logmana możesz ustawić liczniki wydajności ORAZ określić format wyjściowy, w ten sposób możesz wybrać format, który można łatwo przeanalizować. Zobacz opcję -f:
-f { bin | bincirc | csv | tsv | SQL } : Specifies the file format used for collecting performance counter and trace data. You can use binary, circular binary, comma and tab separated, or SQL database formats when collecting performance counters.
Jak mówili inni, jeśli masz również zapisów historycznych musisz analizować można użyć narzędzia Relog konwertować istniejący .blg pliki do bardziej użytecznej formie.
Istnieje narzędzie o nazwie relog, które może przekonwertować te pliki na CSV lub inne formaty.
http://blog.bennett-scharf.com/2008/12/17/converting-an-existing-perfmon-blg-file-to-csv/
http://blogs.msdn.com/b/adcman/archive/2006/05/15/598149.aspx
http://blogs.msdn.com/b/granth/archive/2008/09/23/relogging-perfmon-binary-log-files-to-sql.aspx
Tak, wiem o ponownym zalogowaniu. Ale powodem, dla którego chcę mieć specyfikację niskiego poziomu, jest to, że chcę uniknąć używania relog. Moim zadaniem jest zastosowanie algorytmów eksploracji danych do ogromnych zbiorów danych dziennika. –
Inną opcją jest eksport Collection perfmon Zestaw danych jako szablon, i zmienić format pliku dziennika w formacie XML - poszukaj tagu LogFileFormat i zmień wartość z formatem preferencjami
0 = CSV , 1 = TSV, 2 = SQL, 3 = domyślny format binarny.
Szukałem sposobu na włączenie danych PerfMon do SIEM i okazało się, że najlepszym sposobem na to było uzyskanie perfmon do zalogowania się do SQL DB (i odczytanie danych z widoku SQL, od agenta SIEM) to.
Nie mogę powiedzieć wiele o innych produktach, ale w LogRhythm SIEM potrzebujesz do tego celu źródła dziennika "UDLA" (uniwersalny adapter protokołu bazy danych) - a jeśli chcesz analizować/kontekstować metadane, Potrzebują niektórych reguł parsowania (np. regex) dla tego, co zwraca zapytanie.
Jest to użyteczne, aby zobaczyć takie rzeczy jak „jeśli istnieje x liczbę błędów logowania, i korzystać MBytes jest mniejsza niż 100, następnie uruchom alarm regułę/AIEngine«Za mało pamięci do procesu logowania»”.
To całkiem kiepski przykład, ale masz pomysł.
Możesz również spojrzeć na inne rzeczy, które mają potencjalnie złośliwe wyjaśnienie, a także łagodne wyjaśnienie.
Na przykład - jeśli widzisz dużą liczbę nieudanych prób resetowania haseł, może to zazwyczaj oznaczać pewne złośliwe zachowanie - ale nie, jeśli zobaczysz liczniki perfmonów informujące, że kontroler domeny ma w sumie mniej niż 1000 bezpłatnych PTE systemów (co prawda jest mało prawdopodobne w 64-bitowym systemie operacyjnym) lub jeśli zużycie procesora przekracza 95%. W takim przypadku nie musi to być kwestia bezpieczeństwa, jest to problem z obciążeniem/pojemnością - lub coś jest nie tak z twoim DC.
Nie sądzę, że znajdziesz ten format, ale w systemie Windows nadal można otworzyć i odczytać plik dziennika za pomocą C, myślę, że przy użyciu biblioteki PDH. Czy znasz ten http://www.microsoft.com/msj/1299/pdh/pdh.aspx? –