нашел, как мне кажется, приемлемый спосособ экспортировать windows event logs на нормальный syslog сервер. (если есть еще извращенцы, которым это может быть интересно, ключевые слова - syslog-ng и lassolog

теперь хотелось бы систематизировать знания.
что почитать доступного идиотуюниксисту про event logs в виндах: какие бывают события, как они группируются, за что на самом деле отвечают разные политики аудита, итп. если вдруг у кого-то уже есть опыт, на что обращать внимание в первую очередь при мониторинге логов ?