Binary Perfmon.blg文件规范/解析库

Binary Perfmon.blg文件规范/解析库,binary,file-format,perfmon,Binary,File Format,Perfmon,在哪里可以找到Perfmon binary.blg文件格式的详细低级规范?或者更好的是,是否有人编写了用于解析.blg文件的低级开源库(最好是C语言,但任何语言都可以?有一个名为relog的工具,可以将这些文件转换为csv或其他格式 这无助于查看历史数据,但如果您可以访问运行Perfmon的系统,您可能需要查看。使用Logman,您可以设置性能计数器并指定输出格式,这样您就可以选择一种易于解析的格式。请参阅-f选项: -f{bin | bincirc | csv | tsv | SQL}:指

在哪里可以找到Perfmon binary.blg文件格式的详细低级规范?或者更好的是,是否有人编写了用于解析.blg文件的低级开源库(最好是C语言,但任何语言都可以?

有一个名为relog的工具,可以将这些文件转换为csv或其他格式


这无助于查看历史数据,但如果您可以访问运行Perfmon的系统,您可能需要查看。使用Logman,您可以设置性能计数器并指定输出格式,这样您就可以选择一种易于解析的格式。请参阅
-f
选项:

-f{bin | bincirc | csv | tsv | SQL}:指定用于收集性能计数器和跟踪数据的文件格式。在收集性能计数器时,可以使用二进制、循环二进制、逗号和制表符分隔或SQL数据库格式。


正如其他人所说,如果您还有需要解析的历史记录,则可以使用该实用程序将现有的.blg文件转换为更有用的格式。

另一个选项是将perfmon数据收集集导出为模板,并更改XML中的日志文件格式-查找LogFileFormat标记并将值更改为您首选的格式


0=CSV,1=TSV,2=SQL,3=默认二进制格式。

我正在寻找将PerfMon数据合并到SIEM的方法,并发现让PerfMon登录到SQL DB(并从SQL视图,从SIEM代理读取数据)是最好的方法

关于其他产品,我不能说太多,但在LogRhythm SIEM中,您需要一个“UDLA”(通用数据库日志适配器)日志源,如果您想解析/上下文化元数据,您需要一些解析规则(即regex)来解析查询返回的内容

查看“如果存在x个登录错误,且可用MB小于100,则触发报警/AIEngine规则‘内存不足,无法处理登录’”之类的内容非常有用

这是一个很蹩脚的例子,但你明白了

您可能还会看到其他可能有恶意解释,也可能有善意解释的事情。

例如,如果您看到大量重置密码的尝试失败,这通常可能表示存在恶意行为,但如果您看到perfmon计数器告诉您域控制器的可用系统PTE总数不到1000个(在64位操作系统上不太可能),或者CPU使用率超过95%,则情况并非如此。在这种情况下,这不一定是安全问题,而是负载/容量问题-或者您的DC出现了严重问题。

我认为您不会找到这种格式,但在Windows上,您仍然可以使用C打开和读取日志文件,我想使用PDH库。你读过这个吗?