Спецификация файла Perfmon .blg / библиотека синтаксического анализа

Где я могу найти подробную низкоуровневую спецификацию для двоичного файла Perfmon в формате .blg? Или, что еще лучше, кто-нибудь написал низкоуровневую библиотеку с открытым исходным кодом (желательно на C, но подойдет любой язык) для разбора файлов .blg?


binary file-format perfmon
person Andreas Jansson    schedule 06.06.2010    source источник
comment
Я не думаю, что вы найдете этот формат, но в Windows вы все равно можете открыть и прочитать файл журнала с помощью C, я думаю, с помощью библиотеки PDH. Вы читали это microsoft.com/msj/1299/pdh/pdh.aspx< /а> ?   -  person Simon Mourier    schedule 05.06.2011

Ответы (4)


arrow_upward
6
arrow_downward

Это не поможет при просмотре исторических данных, но если у вас есть доступ к системам, на которых работает Perfmon, вы можете посмотреть Логман. С Logman вы можете установить счетчики производительности И указать формат вывода, таким образом, вы можете просто выбрать формат, который легко анализировать. См. вариант -f:

-f { bin | bincirc | csv | tsv | SQL } : Specifies the file format used for collecting performance counter and trace data. You can use binary, circular binary, comma and tab separated, or SQL database formats when collecting performance counters.

Как уже говорили другие, если у вас также есть исторические записи, которые необходимо проанализировать, вы можете использовать Relog утилита для преобразования существующих файлов .blg в более удобный формат.

person daalbert    schedule 06.06.2011

arrow_upward
7
arrow_downward

Существует инструмент под названием relog, который может конвертировать эти файлы в csv или другие форматы.

http://blog.bennett-scharf.com/2008/12/17/converting-an-existing-perfmon-blg-file-to-csv/

http://blogs.msdn.com/b/adcman/archive/2006/05/15/598149.aspx

http://blogs.msdn.com/b/granth/archive/2008/09/23/relogging-perfmon-binary-log-files-to-sql.aspx

person csauve    schedule 22.06.2010

arrow_upward
2
arrow_downward

Другой вариант — экспортировать набор сбора данных perfmon в качестве шаблона и изменить формат файла журнала в XML — найдите тег LogFileFormat и измените значение на формат, который вы предпочитаете.

0 = CSV, 1 = TSV, 2 = SQL, 3 = двоичный формат по умолчанию.

person DodgyG33za    schedule 27.03.2013

arrow_upward
0
arrow_downward

Я искал способ включить данные PerfMon в SIEM и обнаружил, что получение perfmon для регистрации в базе данных SQL (и чтение данных из представления SQL из агента SIEM) было лучшим способом сделать это.

Я не могу много говорить о других продуктах, но в LogRhythm SIEM вам нужен источник журнала "UDLA" (универсальный адаптер журнала базы данных) для него - и если вы хотите анализировать/контекстуализировать метаданные, вам понадобятся некоторые правила анализа. (т.е. регулярное выражение) для того, что возвращает запрос.

Полезно видеть такие вещи, как «если есть x количество ошибок входа в систему, И количество доступных МБ меньше 100, ТОГДА активировать сигнал тревоги/правило AIEngine «Недостаточно памяти для обработки входа в систему»».

Это довольно хромой пример, но вы поняли идею.

Вы также можете посмотреть на другие вещи, которые имеют потенциально вредоносное объяснение, а также безобидное объяснение.
Например, если вы видите большое количество неудачных попыток сбросить пароли, это обычно может указывать на какое-то злонамеренное поведение, но не в том случае, если вы видите счетчики производительности, сообщающие вам, что контроллер домена имеет в общей сложности менее 1000 свободных системных PTE (по общему признанию, маловероятно в 64-разрядной ОС) или загрузка ЦП превышает 95%. В этом случае это не обязательно проблема безопасности, это проблема нагрузки/емкости - или что-то очень не так с вашим контроллером домена.

person Adam Thompson    schedule 07.02.2017