Splunk è ottimo per scavare nei registri ma uno dei migliori strumenti disponibili per l'analisi approfondita è Strumento Log Parser di Microsoft . In pratica consente di eseguire query SQL su molti formati di dati di registro. È ottimo per le query ad hoc, ma è facile copiarlo per generare grafici e report ben formattati.
La cosa principale di Log Parser è che con un po 'di creatività puoi inventare cose interessanti. Ad esempio:
- Mostra tutti gli utenti che hanno avuto accessi non riusciti su più di un computer sulla rete entro un periodo di un'ora.
- Elenca gli utenti con i tentativi di accesso più falliti
- Elenca i nomi utente e gli indirizzi IP per tutti gli utenti che hanno effettuato l'accesso a un server specifico
- Mostra tutti gli utenti che hanno effettuato l'accesso in orari insoliti o in luoghi insoliti
So anche che probabilmente non dovrei promuovere la mia roba, ma raccomando davvero il libro "Log Parser Toolkit" che ho pubblicato che ha capitoli scritti da un certo numero di esperti del settore (incluso l'autore di Log Parser) che è un ottimo riferimento per questa roba. La mia copia è molto usurata e continuo a usarla costantemente.