Binary Perfmon.blg文件规范/解析库

在哪里可以找到Perfmon binary.blg文件格式的详细低级规范？或者更好的是，是否有人编写了用于解析.blg文件的低级开源库（最好是C语言，但任何语言都可以？

有一个名为relog的工具，可以将这些文件转换为csv或其他格式

---

这无助于查看历史数据，但如果您可以访问运行Perfmon的系统，您可能需要查看。使用Logman，您可以设置性能计数器并指定输出格式，这样您就可以选择一种易于解析的格式。请参阅

-f

选项：

-f{bin | bincirc | csv | tsv | SQL}：指定用于收集性能计数器和跟踪数据的文件格式。在收集性能计数器时，可以使用二进制、循环二进制、逗号和制表符分隔或SQL数据库格式。

---

正如其他人所说，如果您还有需要解析的历史记录，则可以使用该实用程序将现有的.blg文件转换为更有用的格式。

另一个选项是将perfmon数据收集集导出为模板，并更改XML中的日志文件格式-查找LogFileFormat标记并将值更改为您首选的格式

---

0=CSV，1=TSV，2=SQL，3=默认二进制格式。

我正在寻找将PerfMon数据合并到SIEM的方法，并发现让PerfMon登录到SQL DB（并从SQL视图，从SIEM代理读取数据）是最好的方法

关于其他产品，我不能说太多，但在LogRhythm SIEM中，您需要一个“UDLA”（通用数据库日志适配器）日志源，如果您想解析/上下文化元数据，您需要一些解析规则（即regex）来解析查询返回的内容

查看“如果存在x个登录错误，且可用MB小于100，则触发报警/AIEngine规则‘内存不足，无法处理登录’”之类的内容非常有用

这是一个很蹩脚的例子，但你明白了

您可能还会看到其他可能有恶意解释，也可能有善意解释的事情。

---

例如，如果您看到大量重置密码的尝试失败，这通常可能表示存在恶意行为，但如果您看到perfmon计数器告诉您域控制器的可用系统PTE总数不到1000个（在64位操作系统上不太可能），或者CPU使用率超过95%，则情况并非如此。在这种情况下，这不一定是安全问题，而是负载/容量问题-或者您的DC出现了严重问题。

我认为您不会找到这种格式，但在Windows上，您仍然可以使用C打开和读取日志文件，我想使用PDH库。你读过这个吗？