Desempenho do log de eventos do Windows

O log de eventos do Windows é robusto o suficiente para lidar com muitos eventos por segundo, portanto, dependendo de quantos eventos você está falando (100 comparado a 100.000) por minuto e o que exatamente você precisa fazer com os dados dependeria se eu usaria log de eventos ou não. Se eu só precisar usá-lo para solucionar problemas, o log de eventos é muito bom para isso, mas se eu precisar analisar os dados, sempre acabo colocando-os em um banco de dados ou retirando-os do log de eventos e analisando. Existem algumas ferramentas para isso, mas é um passo desnecessário se você puder ir diretamente para um banco de dados.

Não tenho certeza sobre as especificações exatas, mas para a inserção de registros mais leves, o log de eventos deve consumir menos recursos do que a execução de um servidor SQL local. Em termos de desempenho, eu diria que o servidor SQL seria uma aposta muito melhor do que o log de eventos. Eu acredito que o log de eventos também é armazenado na memória.

Tenha em mente que o log de eventos também é limitado em tamanho. Se você precisar reter muitos logs, precisará executar scripts automatizados para exportá-los e garantir que as configurações do log de eventos estejam corretas para que você não perca informações. Se o log de eventos estiver no tamanho máximo, nenhum log será retido até que seja limpo.

Os logs de eventos podem ser registrados em um banco de dados ou syslog, mas honestamente eu não recomendaria isso.

Eu recomendo que você pese suas opções, mas se você estiver falando de transações pesadas, considere um banco de dados.

Alguns anos atrás (o Windows 2000 Server era atual) Um consultor da Microsoft me disse que o sistema de log de eventos era bom para alguns eventos por segundo, mas registrar centenas seria uma má ideia (mas provavelmente ). Para volumes de log altos, o Rastreamento de Eventos para Windows (ETW) era uma escolha melhor (mas é difícil obter informações acionáveis sobre: desenvolvedor ou administrador).

O suporte ao ETW agora está no .NET e no subsistema de log de eventos, portanto a curva de aprendizado é significativamente menor.

Se você estiver efetuando login em um host externo (como um banco de dados), considere como você registrará erros ao conectar-se a esse servidor (ou seja, um banco de dados não pode ser a única rota para registro).

Você também precisa considerar o consumidor dos eventos. Se não houver uma maneira de fazer com que alguém verifique o status ou faça o diagnóstico de um problema para extrair as informações necessárias, todo o esforço de registro perderá seu valor.

Em vez de tornar os logs de eventos em um banco de dados, você pode importá-los após o fato. Se você precisar de uma consulta eficiente dos seus dados, esse pode ser o caminho a seguir.

Para consultar e recuperar os dados do evento com base em critérios, absolutamente não é comparável ao SQL e não foi projetado para ser.

Existem muitos aplicativos disponíveis que encaminharão os dados do evento para um servidor centralizado. Um deles é o Snare: link

O Windows 2008/7 / Vista tem um recurso integrado para encaminhar eventos para um "coletor" centralizado, mas isso não é realmente um banco de dados. A seguir, um exemplo de como configurar isso:

Coletor de eventos do Windows
link

Coletor de Eventos do Windows Configurando uma assinatura iniciada por fonte.
link