Ambiente de grande escala do Windows Event Forwarding (WEF)

10

Atualmente, usamos o Nxlog em todos os nossos DCs e enviamos esses dados para um servidor central syslog-ng. Devido a lidar com o agente em cada computador e a necessidade de agentes adicionais que suportem apenas a leitura do visualizador de eventos, estamos debatendo sobre o uso do WEF para encaminhar todos os logs do DC para alguns servidores, para que possamos lidar com menos agentes. Em teoria, isso soa bem, mas quando comecei a ler, não vejo nenhuma capacidade de HA ou clustering. Eu provavelmente poderia front-end com uma balança de carga e round robin pulverizar os eventos para os 5 ou mais servidores no back-end, mas não tenho certeza se isso funcionaria do jeito que eu quero.

Alguém tem experiência em usar o WEF em um ambiente razoavelmente grande? Recebemos cerca de 200 milhões de logs de eventos do Windows por dia e precisamos aumentar o nível de registro. Além disso, temos a necessidade de os logs estarem o mais próximo possível do tempo real. Com essa escala, alguém teve problemas de desempenho nos logs de encaminhamento do DC ou na latência dos coletores que os receberam?

Obrigado pela sua ajuda e contribuição.

    
por Eric 29.04.2016 / 21:39

2 respostas

1

Eu recomendo que você mude todos os seus agentes para elásticos . Eu usei o nxlog no passado e ele simplesmente não faz tudo tão legal quanto os elásticos.

Além disso, eles são escritos em GO , portanto, não é necessário depender das dependências.

O Syslog-NG também é ótimo, mas eu mudei para logstash aqui também, ele suporta clustering, failover, filas e muitas exportações diferentes (como graylog ou splunk).

Por fim, implantamos nossas batidas no windows e no linux com o Ansible.

    
por 03.12.2016 / 20:56
-2

Você pode querer considerar uma ferramenta como o Graylog ( link ) para gerenciar e monitorar seu ambiente de registro empresarial.

    
por 14.03.2017 / 20:10

Tags