A melhor maneira de estruturar logs e assinaturas com o Windows Event Forwarding

1

Estou pensando em lançar o WEF em uma de nossas novas florestas sendo construídas e fiquei imaginando qual seria a melhor maneira de estruturar os logs e assinaturas de 'recebimento'. No momento, só tenho quatro registros que criei usando o link (DCs, servidores, estações de trabalho, computadores sem domínio) e têm pouco mais de 10 inscrições, onde cada uma é uma categoria de evento, por exemplo Eventos de firewall do Windows, eventos de atividades de conta e de grupo, etc.

Esta é a melhor maneira de fazer isso? Seria melhor ter os logs de destino sombreando as inscrições? Talvez não exista um caminho certo ou errado, mas talvez alguém esteja em situação parecida comigo e tenha algumas pérolas de sabedoria?

Para ter uma ideia de como será esse ambiente, temos um total de quatro sites, cada um com cerca de 100 a 150 estações de trabalho e servidores. Eu terei um coletor em cada site que coletar eventos para todos os computadores no site.

Obrigado pela ajuda

    
por Stuart475898 18.06.2017 / 08:14

1 resposta

0

Não tenho visto muito valor na estruturação de logs de eventos encaminhados personalizados do coletor para corresponder às assinaturas. Esse tipo de configuração e ligação customizada exigiria manutenção e seria uma dor de cabeça.

Os logs de eventos encaminhados destinam-se a áreas de preparação temporárias, onde os eventos são processados por automação após a coleta para salvar em um banco de dados e / ou alarmes / notificações. Eles também podem ser enormes - 10 GB, sem impacto no desempenho do processamento , porque são logs binários circulares. A única exceção para o desempenho é o visualizador gráfico de eventos, mas os logs encaminhados não são destinados ao uso do visualizador gráfico de eventos.

Código personalizado Get-WindowsEvent ou .NET do PowerShell para extrair rapidamente os eventos necessários para um arquivo CSV ou XML, com base na filtragem por data / hora e critérios de evento, usando filtros de consulta XML de evento.

Eu não vi nenhuma orientação prescritiva sobre o número de assinantes por colecionador, provavelmente porque depende do volume. Mas tenho um coletor e o log de eventos encaminhados padrão com mais assinantes do que o cenário que você descreve, que coleta milhões de eventos por dia e não está próximo da capacidade.

Quando uma separação de interesses é realmente necessária, recomendo que você colecione um coletor separado. Servidores virtuais e armazenamento são baratos.

    
por 18.06.2017 / 15:59