Windows系统数据采集

　　logkit-pro支持直接采集windows下的文本数据和wineventlog信息或则通过wmi采集windows的系统信息。文本数据的搜集使用的是file reader，wineventlog信息的搜集使用的是wineventlog reader，而通过wmi搜集windows系统信息则是使用wmi reader。wineventlog reader须要将agent布署在须要采集eventlog的机器上，而wmi reader则支持远程访问的方法读取系统信息

　　前期打算

　　从这儿下载最新版的logkit-pro，因为wmi与wineventlog都是windows下的组件，所以请下载windows版本的logkit-pro。

　　具体logkit-pro的安装可以参考logkit-pro安装手册。

　　安装完成后登陆logkit-pro，在数据搜集蓝筹股中选择添加搜集器->日志搜集,在添加采集器的页面就能看见如下结果，则证明安装无误，可以使用logkit进行数据搜集的操作。

　　使用file reader搜集windows下的数据

　　在数据搜集的页面见到两侧的这五个采集器是用于搜集文件类型的数据的。

　　具体每位采集器的使用方式和用途可以参考文件数据源

　　这里我们选择file模式读取文件数据,并在配置栏中填写相应配置。这里我们获取的是磁盘下名为test.txt文本文件中的数据。

　　点击一侧的获取数据可以在左边的文本框中见到尝试获得数据。

　　后续配置相应须要的解析器（可选）,转换器（可选）,发送目的地，即可完成windows下文本数据的搜集。我们可以看见系统日志早已被源源不断的发送到配置的目的地了。

　　使用wineventlog reader搜集windows系统日志

　　进入windows系统日志的搜集界面，能看到如下所示的界面：

　　如图中所示，logkit-pro默认提供的搜集类别有应用程序(Application),安全(Security),系统(System)。

　　其他须要搜集的风波日志可以在自定义文本框中填写须要搜集的风波名称。支持填写多个风波名，中间用,分隔。

　　配置完成后点击两侧的获取数据，可以尝试获取当前配置下的数据。若配置无误，在两侧文本框中可以见到尝试获取的数据。

　　后续配置相应须要的解析器（可选）,转换器（可选）,发送目的地，即可完成windows下系统日志的搜集。我们可以看见系统日志早已被源源不断的发送到配置的目的地了。

　　这里我们将数据发送到七牛的大数据平台进行剖析，发送后可以在智能日志平台中见到相应的数据信息。

　　还可以在搜索框中输入相应的搜索条件进行信息的快速搜索和筛选。

　　同时还可以借助日志平台的仪表盘进行数据的可视化剖析。以下是我们制做的数据图表。

　　详细的搜集操作和配置可以参考Windows Eventlog数据源

　　使用wmi reader搜集windows系统信息

　　进入通过WMI读取windows系统信息页面，能看到如下所示界面：

　　如图中所示，相应配置项的涵义：

　　配置完成后点击两侧的获取数据，可以尝试获取当前配置下的数据。若配置无误，在两侧文本框中可以见到尝试获取的数据。(目前提供了Win32_Process和Win32_NTLogEvent两个实例的搜集，其中Win32_NTLogEvent实例可能因为数据较多，尝试获取数据的时侯会加载较长的时间)

　　后续配置相应须要的解析器（可选）,转换器（可选）,发送目的地，即可完成windows下系统日志的搜集。我们可以看见系统日志早已被源源不断的发送到配置的目的地了。

　　详细的搜集操作和配置可以参考wmi数据源

　　windows系统审计项的配置

　　由于默认情况下 Windows 的审计未设或则设置项极少，因此需降低相应的审计项目。

　　配置成功以后的相关初审项即可在wmi reader中通过Win32_NTLogEvent实例来搜集。

　　注意：若配置了和防火墙有关的初审项，日志量会下降起码 10 倍，请慎重配置。