Tôi có thể tìm thông số chi tiết, mức thấp cho định dạng tệp nhị phân Perfmon .blg ở đâu? Hoặc thậm chí tốt hơn, có ai đó viết một thư viện mã nguồn mở, mức thấp (tốt nhất là trong C, nhưng bất kỳ ngôn ngữ nào sẽ làm) để phân tích cú pháp các tệp .blg?Đặc điểm tệp/thư viện phân tích cú pháp .blg
này sẽ không giúp cho nhìn vào dữ liệu lịch sử, nhưng nếu bạn có quyền truy cập vào các hệ thống chạy Perfmon, bạn có thể muốn xem xét Logman. Với Logman, bạn có thể thiết lập các bộ đếm hiệu năng VÀ xác định định dạng đầu ra, theo cách đó bạn có thể chọn một định dạng dễ phân tích cú pháp. Thấy tùy chọn -f:
-f { bin | bincirc | csv | tsv | SQL } : Specifies the file format used for collecting performance counter and trace data. You can use binary, circular binary, comma and tab separated, or SQL database formats when collecting performance counters.
Như những người khác đã nói nếu bạn cũng có ghi chép lịch sử bạn cần phải phân tích cú pháp bạn có thể sử dụng tiện ích Relog để chuyển đổi hiện .blg tập tin trong một định dạng hữu dụng hơn.
Có một công cụ gọi là relog có thể chuyển đổi các tệp này thành csv hoặc các định dạng khác.
http://blog.bennett-scharf.com/2008/12/17/converting-an-existing-perfmon-blg-file-to-csv/
http://blogs.msdn.com/b/adcman/archive/2006/05/15/598149.aspx
http://blogs.msdn.com/b/granth/archive/2008/09/23/relogging-perfmon-binary-log-files-to-sql.aspx
Có Tôi biết về relog. Nhưng lý do tôi muốn một thông số kỹ thuật cấp thấp là tôi muốn tránh sử dụng relog. Nhiệm vụ của tôi là áp dụng các thuật toán khai phá dữ liệu cho các tập dữ liệu nhật ký khổng lồ.Thay vì phải chờ hàng giờ để relog chuyển đổi blg thành csv, sau đó phân tích cú pháp tệp csv, tôi muốn lấy tệp blg và phân tích cú pháp dưới dạng luồng nhị phân. Với tôi, bước relog thêm hoàn toàn không có giá trị. –
Một lựa chọn khác là để xuất khẩu Collection perfmon dữ liệu Đặt làm mẫu, và thay đổi định dạng tập tin log trong XML - tìm kiếm các từ khóa LogFileFormat và thay đổi giá trị sang định dạng của sở thích của bạn
0 = CSV , 1 = TSV, 2 = SQL, 3 = định dạng nhị phân mặc định.
Tôi đang tìm cách kết hợp dữ liệu PerfMon vào SIEM, và nhận thấy rằng nhận được perfmon để đăng nhập vào SQL DB (và đọc dữ liệu từ một khung nhìn SQL, từ đại lý SIEM) là cách tốt nhất để làm điều này. Tôi không thể nói nhiều về các sản phẩm khác, nhưng trong LogRhythm SIEM, bạn cần có nguồn đăng nhập "UDLA" (cơ sở dữ liệu phổ quát log adapter) cho nó - và nếu bạn muốn phân tích cú pháp/bối cảnh siêu dữ liệu, bạn sẽ cần một số quy tắc phân tích cú pháp (tức là regex) cho những gì truy vấn trả về.
Thật hữu ích khi xem những thứ như "nếu có x số lỗi đăng nhập, VÀ MBMB trống nhỏ hơn 100, cảnh báo kích hoạt THEN/quy tắc AIEngine 'Không đủ bộ nhớ để xử lý nhật ký'".
Đó là một ví dụ khá lame, nhưng bạn có ý tưởng.
Bạn cũng có thể xem các nội dung khác có giải thích có khả năng độc hại và cũng giải thích rõ ràng. Ví dụ: nếu bạn thấy một số lượng lớn nỗ lực đặt lại mật khẩu không thành công, điều này thường có thể chỉ ra một số hành vi nguy hiểm - nhưng không phải nếu bạn nhìn thấy bộ đếm nước hoa cho bạn biết rằng Bộ điều khiển miền có tổng số ít hơn 1.000 PTE hệ thống miễn phí (chắc chắn là không có trên một hệ điều hành 64-bit), hoặc đang thấy sử dụng CPU của hơn 95%. Trong trường hợp đó, nó không nhất thiết là một vấn đề an ninh, đó là một vấn đề tải/công suất - hoặc một cái gì đó rất sai với DC của bạn.
Tôi không nghĩ rằng bạn sẽ tìm thấy định dạng này, nhưng trên Windows, bạn vẫn có thể mở & đọc tệp nhật ký với C, tôi nghĩ rằng bằng cách sử dụng thư viện PDH. Bạn đã đọc http://www.microsoft.com/msj/1299/pdh/pdh.aspx chưa? –