Środowisko wielkoskalowe przesyłania zdarzeń Windows (WEF)

Obecnie używamy Nxlog na wszystkich naszych kontrolerach domeny i wysyłamy te dane do centralnego serwera syslog-ng. Ze względu na kontakt z agentem na każdym komputerze i potrzebę dodatkowych agentów, które obsługują tylko czytanie przeglądarki zdarzeń, debatujemy nad wykorzystaniem WEF do przekazywania wszystkich dzienników DC do kilku serwerów, więc mamy mniej agentów do czynienia. Teoretycznie to brzmi dobrze, ale kiedy zacząłem czytać, nie widzę żadnej zdolności do HA ani tworzenia klastrów. Prawdopodobnie mógłbym to zrobić z równoważeniem obciążenia i okrągłym robinem rozpylającym zdarzenia na około 5 serwerów z tyłu, ale nie jestem pewien, czy to zadziała tak, jak tego chcę.

Czy ktoś ma doświadczenie w korzystaniu z WEF w dość dużym środowisku? Codziennie otrzymujemy około 200 milionów dzienników zdarzeń Windows i musimy zwiększyć poziom rejestrowania. Ponadto potrzebujemy, aby dzienniki znajdowały się jak najbliżej czasu rzeczywistego, więc czy przy tej skali ktoś miał problem z wydajnością dzienników przesyłania DC lub opóźnień w odbiorze ich przez kolektory?

Dziękujemy za pomoc i wkład.

Gorąco poleciłbym zmianę wszystkich agentów na elastyczne beaty . W przeszłości używałem nxlog i po prostu nie robi wszystkiego tak ładnie, jak elastyczne beaty.

Dodatkowo są napisane w GO, więc nie są potrzebne zależności.

Syslog-NG też jest świetny, ale od tego czasu przestawiłem się również na logstash, obsługuje on klastrowanie, przełączanie awaryjne, kolejki i wiele różnych eksportów (np. Graylog lub splunk).

Wreszcie, wdrażamy nasze beaty w systemie Windows i Linux za pomocą Ansible.

Możesz rozważyć zastosowanie narzędzia takiego jak Graylog ( https://www.graylog.org/features ) do zarządzania i monitorowania środowiska rejestrowania w przedsiębiorstwie.