Windows Event Forwarding (WEF) Lingkungan Skala Besar

10

Kami saat ini menggunakan Nxlog di semua DC kami dan mengirim data itu ke server syslog-ng pusat. Karena berurusan dengan agen di setiap komputer dan kebutuhan untuk agen tambahan yang hanya mendukung membaca penampil acara, kami berdebat tentang menggunakan WEF untuk meneruskan semua log DC ke beberapa server sehingga kami memiliki lebih sedikit agen untuk ditangani. Secara teori ini kedengarannya bagus, tetapi ketika saya mulai membacanya, saya tidak melihat kemampuan untuk HA atau pengelompokan. Saya mungkin bisa mengakhirinya dengan keseimbangan beban dan round robin menyemprotkan peristiwa ke 5 atau lebih server di bagian belakang tetapi tidak yakin apakah itu akan bekerja seperti yang saya inginkan.

Adakah yang punya pengalaman menggunakan WEF di lingkungan yang cukup besar? Kami menerima sekitar 200 juta log peristiwa Windows per hari dan perlu meningkatkan level logging. Juga, kami memiliki kebutuhan untuk log sedekat mungkin dengan waktu sehingga dengan skala ini, apakah ada yang mengalami masalah kinerja pada DC forwarding log atau latensi dari kolektor yang menerimanya?

Terima kasih atas bantuan dan masukan Anda.

Eric
sumber
Artikel di bawah ini memiliki beberapa informasi yang baik tentang cara men-setup pasangan HA, tetapi Anda akan menerima duplikat di setiap server alih-alih menjadi pengaturan tipe round-robin yang sebenarnya. Ini akan berhasil jika Anda hanya peduli tentang HA, tetapi saya juga tidak ingin mendapatkan dups, jadi saya tidak berpikir itu akan melakukan apa yang saya inginkan. ( technet.microsoft.com/itpro/windows/keep-secure/… )
Eric
tidak benar-benar menjawab pertanyaan Anda, tetapi apakah Anda sudah mencoba menggunakan sistem manajemen konfigurasi seperti [saltstack (klien windows gratis!), boneka, koki, dll] untuk penyediaan agen nxlog? Dalam kehidupan masa lalu saya, saya menggunakan garam untuk menggunakan nxlog dan konfigurasi, membuatnya mudah untuk mengelola semua agen nxlog.
Steve Butler

Jawaban:

1

Saya sangat merekomendasikan untuk mengganti semua agen Anda dengan ketukan elastis . Saya telah menggunakan nxlog di masa lalu dan itu tidak melakukan semuanya sebaik ketukan elastis.

Plus mereka ditulis dalam GO sehingga tidak ada ketergantungan yang diperlukan.

Syslog-NG juga bagus, tetapi saya sudah beralih ke logstash di sini juga, ia mendukung pengelompokan, failover, antrian, dan banyak ekspor berbeda (seperti ke graylog atau splunk).

Terakhir, kami menyebarkan ketukan kami ke windows dan linux dengan Ansible.

Jacob Evans
sumber
-2

Anda mungkin ingin mempertimbangkan alat seperti Graylog ( https://www.graylog.org/features ) untuk mengelola dan memantau lingkungan pencatatan perusahaan Anda.

Chris Huey
sumber
Saya pikir penanya benar-benar ingin wawasan tentang penggunaan WEF - apakah Anda mulai menggunakan Graylog setelah mengalami masalah dengan WEF (atau mengambilnya dari WEF untuk alasan tertentu)?
iwaseatenbyagrue
Ini sangat tidak relevan dengan pertanyaan ..
willemdh