在哪里可以找到Perfmon二进制.blg文件格式的详细的低级规范?或者甚至更好,是否有人编写了一个低级别的开源库(最好用C语言,但任何语言都可以)来解析.blg文件?
答案 0 :(得分:6)
有一个名为relog的工具可以将这些文件转换为csv或其他格式。
http://blog.bennett-scharf.com/2008/12/17/converting-an-existing-perfmon-blg-file-to-csv/
http://blogs.msdn.com/b/adcman/archive/2006/05/15/598149.aspx
http://blogs.msdn.com/b/granth/archive/2008/09/23/relogging-perfmon-binary-log-files-to-sql.aspx
答案 1 :(得分:6)
这对查看历史数据没有帮助,但如果您可以访问运行Perfmon的系统,则可能需要查看Logman。使用Logman,您可以设置性能计数器并指定输出格式,这样您就可以选择易于解析的格式。请参阅-f选项:
-f { bin | bincirc | csv | tsv | SQL } : Specifies the file format used for collecting performance counter and trace data. You can use binary, circular binary, comma and tab separated, or SQL database formats when collecting performance counters.
正如其他人所说,如果您还需要解析历史记录,可以使用Relog实用程序将现有的.blg文件转换为更有用的格式。
答案 2 :(得分:2)
另一种选择是将perfmon数据收集集导出为模板,并更改XML中的日志文件格式 - 查找LogFileFormat标记并将值更改为首选项的格式
0 = CSV,1 = TSV,2 = SQL,3 =默认的二进制格式。
答案 3 :(得分:0)
我一直在寻找一种方法将PerfMon数据合并到SIEM中,并发现将perfmon登录到SQL DB(以及从SQL视图中读取数据,来自SIEM代理)是最好的方法。
我不能对其他产品说太多,但在LogRhythm SIEM中,你需要一个" UDLA" (通用数据库日志适配器)它的日志源 - 如果要解析/上下文化元数据,您需要一些解析规则(即正则表达式)来查询返回的内容。
查看"如果 x 的登录错误数量,并且Avail MBytes小于100,那么触发警报/ AIEngine规则很有用'内存不足以处理登录'"。
这是一个非常蹩脚的例子,但你明白了。
您可能还会查看其他具有潜在恶意解释的内容,以及良性解释 例如 - 如果您看到大量失败的尝试重置密码,这通常可能表示某些恶意行为 - 但如果您看到perfmon计数器告诉您域控制器总共少于1,000个免费系统PTE(不可否认)不太可能在64位操作系统上),或者看到CPU使用率超过95%。在这种情况下,它不一定是安全问题,它是负载/容量问题 - 或者您的DC出现问题。