使用filereader收集windows下的数据(组图)-pro

　　使用filereader收集windows下的数据(组图)-pro

　　logkit-pro 支持采集windows 下的直接文本数据和wineeventlog 信息或通过wmi采集windows 的系统信息。文本数据的采集使用文件阅读器，wineeventlog信息的采集使用wineeventlog阅读器，通过wmi采集windows系统信息使用wmi阅读器。 wineventlog reader需要在需要采集eventlog的机器上部署agent，而wmi reader支持远程访问读取系统信息

　　前期准备

　　从这里下载最新版本的logkit-pro，因为wmi和wineeventlog都是windows下的组件，所以请下载windows版本的logkit-pro。

　　具体的logkit-pro安装请参考logkit-pro安装指南。

　　安装完成后，登录logkit-pro，在数据采集部分选择Add Collector -> Log 采集，在Add Collector页面可以看到如下结果，证明安装正确，和 logkit 可用于数据采集操作。

　　windows下使用文件阅读器采集数据

　　在数据采集页面，可以看到左侧的五个采集器用于采集文件类型数据。

　　各个采集器的具体用途和用途，请参考文件数据源

　　这里我们选择文件方式读取文件数据，在配置栏中填写相应的配置。这里我们获取C盘下名为test.txt的文本文件中的数据。

　　点击右侧的获取数据，可以在右侧的文本框中看到正在尝试获取数据。

　　后续配置相应需要的解析器（可选）、转换器（可选）、发送目的地即可完成windows下文本数据的采集。可以看到系统日志已经持续发送到配置的目的地。

　　使用wineeventlog reader采集windows系统日志

　　进入windows系统日志采集界面，可以看到如下界面：

　　如图所示，logkit-pro默认提供的集合类别为Application、Security、System。

　　其他需要采集的事件日志可以在自定义文本框中填写需要采集的事件名称。支持填写多个事件名称，中间以，分隔。

　　配置完成后，点击右侧的Get Data，尝试获取当前配置下的数据。如果配置正确，您可以在右侧的文本框中看到您尝试获取的数据。

　　后续配置所需的解析器（可选）、转换器（可选）、目的地，完成windows下系统日志的采集。可以看到系统日志已经持续发送到配置的目的地。

　　这里我们将数据发送到七牛的大数据平台进行分析。发送后即可在智能日志平台看到相应的数据信息。

　　您也可以在搜索框中输入相应的搜索条件，快速搜索和过滤信息。

　　同时，您还可以使用日志平台的仪表盘对数据进行可视化分析。以下是我们制作的数据图表。

　　详细的采集操作和配置请参考Windows Eventlog数据源

　　使用wmi reader采集windows系统信息

　　进入通过WMI读取windows系统信息的页面，可以看到如下界面：

　　如图所示，对应配置项的含义：

　　配置完成后，点击右侧的Get Data，尝试获取当前配置下的数据。如果配置正确，您可以在右侧的文本框中看到您尝试获取的数据。 （目前提供了Win32_Process和Win32_NTLogEvent两个实例，Win32_NTLogEvent实例由于数据量大，尝试获取数据时可能需要较长时间加载）

　　后续配置所需的解析器（可选）、转换器（可选）、目的地，完成windows下系统日志的采集。可以看到系统日志已经持续发送到配置的目的地。

　　详细的采集操作和配置请参考wmi数据源

　　windows系统中审计项的配置

　　由于默认没有设置Windows审计或者设置项很少，所以需要添加相应的审计项。

　　配置成功后，可以通过Win32_NTLogEvent实例在wmi reader中采集相关审计项。

　　注意：如果配置了防火墙相关的审计项，日志量至少会增加10倍。请仔细配置。