Где я могу найти подробную низкоуровневую спецификацию для двоичного файла Perfmon в формате .blg? Или, что еще лучше, кто-нибудь написал низкоуровневую библиотеку с открытым исходным кодом (желательно на C, но подойдет любой язык) для разбора файлов .blg?
Спецификация файла Perfmon .blg / библиотека синтаксического анализа
Ответы (4)
Это не поможет при просмотре исторических данных, но если у вас есть доступ к системам, на которых работает Perfmon, вы можете посмотреть Логман. С Logman вы можете установить счетчики производительности И указать формат вывода, таким образом, вы можете просто выбрать формат, который легко анализировать. См. вариант -f
:
-f { bin | bincirc | csv | tsv | SQL } : Specifies the file format used for collecting performance counter and trace data. You can use binary, circular binary, comma and tab separated, or SQL database formats when collecting performance counters.
Как уже говорили другие, если у вас также есть исторические записи, которые необходимо проанализировать, вы можете использовать Relog утилита для преобразования существующих файлов .blg в более удобный формат.
Существует инструмент под названием relog, который может конвертировать эти файлы в csv или другие форматы.
http://blog.bennett-scharf.com/2008/12/17/converting-an-existing-perfmon-blg-file-to-csv/
http://blogs.msdn.com/b/adcman/archive/2006/05/15/598149.aspx
http://blogs.msdn.com/b/granth/archive/2008/09/23/relogging-perfmon-binary-log-files-to-sql.aspx
Другой вариант — экспортировать набор сбора данных perfmon в качестве шаблона и изменить формат файла журнала в XML — найдите тег LogFileFormat и измените значение на формат, который вы предпочитаете.
0 = CSV, 1 = TSV, 2 = SQL, 3 = двоичный формат по умолчанию.
Я искал способ включить данные PerfMon в SIEM и обнаружил, что получение perfmon для регистрации в базе данных SQL (и чтение данных из представления SQL из агента SIEM) было лучшим способом сделать это.
Я не могу много говорить о других продуктах, но в LogRhythm SIEM вам нужен источник журнала "UDLA" (универсальный адаптер журнала базы данных) для него - и если вы хотите анализировать/контекстуализировать метаданные, вам понадобятся некоторые правила анализа. (т.е. регулярное выражение) для того, что возвращает запрос.
Полезно видеть такие вещи, как «если есть x количество ошибок входа в систему, И количество доступных МБ меньше 100, ТОГДА активировать сигнал тревоги/правило AIEngine «Недостаточно памяти для обработки входа в систему»».
Это довольно хромой пример, но вы поняли идею.
Вы также можете посмотреть на другие вещи, которые имеют потенциально вредоносное объяснение, а также безобидное объяснение.
Например, если вы видите большое количество неудачных попыток сбросить пароли, это обычно может указывать на какое-то злонамеренное поведение, но не в том случае, если вы видите счетчики производительности, сообщающие вам, что контроллер домена имеет в общей сложности менее 1000 свободных системных PTE (по общему признанию, маловероятно в 64-разрядной ОС) или загрузка ЦП превышает 95%. В этом случае это не обязательно проблема безопасности, это проблема нагрузки/емкости - или что-то очень не так с вашим контроллером домена.