Windows Forwarding events (WEF) Ambiente di scala larga

Attualmente utilizziamo Nxlog su tutti i nostri DC e inviamo i dati a un server syslog-ng centrale. Dovendo trattare l'agente su each computer e la necessità di ulteriori agenti che supportno solo la lettura del visualizzatore di events, stiamo discutendo sull'utilizzo di WEF per inoltrare tutti i registri DC a pochi server in modo da avere less agenti da affrontare. In teoria, questo suona bene, ma mentre cominciai a leggerlo, non vedo alcuna capacità per HA o clustering. Probabilmente avrei dovuto finire con un bilanciamento del carico e il rotatorio rotatorio spruzzare gli events ai 5 o così server sulla parte posteriore, ma non sono sicuro se questo functionrebbe nel modo in cui lo voglio.

Qualcuno ha esperienza con l'utilizzo di WEF in un ambiente abbastanza grande? Riceviamo circa 200 milioni di registri events di Windows al giorno e abbiamo bisogno di aumentare il livello di logging. Inoltre, abbiamo la necessità che i registri siano il più vicino ansible in tempo reale, quindi con questa scala, qualcuno ha eseguito problemi di performance sui registri di inoltro DC o latenza dei collezionisti che li riceve?

  • Dovrebbe sostituire il tuo task manager con l'esploratore di process?
  • Quali autorizzazioni / diritti richiede all'utente un accesso WMI alle macchine remote?
  • Il server SMTP forza il traffico in output
  • Come puoi riparare un file ntbackup (.bkf) danneggiato?
  • Accesso come più volte in più utenti in Windows Server 2008 in ambiente remoto
  • Macchina virtuale: è ansible eseguire un OS di 32 bit OS in un OS di 64 bit?
  • Grazie per il tuo aiuto e l'input.

    2 Solutions collect form web for “Windows Forwarding events (WEF) Ambiente di scala larga”

    Vi consiglio vivamente di passare tutti i tuoi agenti a battere elastiche . Ho usato lo nxlog in passato e semplicemente non fa tutto così bello come i battiti elastici hanno.

    Inoltre sono scritti in GO in modo da non richiedere dependencies.

    Syslog-NG è anche grande, ma da allora sono passato a logstash anche qui, support il clustering, il failover, le code e molte esportzioni diverse (come il graylog o splunk).

    Infine, distribuiamo i nostri battiti a windows e linux con Ansible.

    Puoi considerare uno strumento come Graylog ( https://www.graylog.org/features ) per gestire e monitorare l'ambiente di logging aziendale.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.