Windows Event Forwarding (WEF) Lingkungan Skala Besar

Kami saat ini menggunakan Nxlog di semua DC kami dan mengirim data itu ke server syslog-ng pusat. Karena berurusan dengan agen di setiap komputer dan kebutuhan untuk agen tambahan yang hanya mendukung membaca penampil acara, kami berdebat tentang menggunakan WEF untuk meneruskan semua log DC ke beberapa server sehingga kami memiliki lebih sedikit agen untuk ditangani. Secara teori ini kedengarannya bagus, tetapi ketika saya mulai membacanya, saya tidak melihat kemampuan untuk HA atau pengelompokan. Saya mungkin bisa mengakhirinya dengan keseimbangan beban dan round robin menyemprotkan peristiwa ke 5 atau lebih server di bagian belakang tetapi tidak yakin apakah itu akan bekerja seperti yang saya inginkan.

Adakah yang punya pengalaman menggunakan WEF di lingkungan yang cukup besar? Kami menerima sekitar 200 juta log peristiwa Windows per hari dan perlu meningkatkan level logging. Juga, kami memiliki kebutuhan untuk log sedekat mungkin dengan waktu sehingga dengan skala ini, apakah ada yang mengalami masalah kinerja pada DC forwarding log atau latensi dari kolektor yang menerimanya?

Terima kasih atas bantuan dan masukan Anda.

Saya sangat merekomendasikan untuk mengganti semua agen Anda dengan ketukan elastis . Saya telah menggunakan nxlog di masa lalu dan itu tidak melakukan semuanya sebaik ketukan elastis.

Plus mereka ditulis dalam GO sehingga tidak ada ketergantungan yang diperlukan.

Syslog-NG juga bagus, tetapi saya sudah beralih ke logstash di sini juga, ia mendukung pengelompokan, failover, antrian, dan banyak ekspor berbeda (seperti ke graylog atau splunk).

Terakhir, kami menyebarkan ketukan kami ke windows dan linux dengan Ansible.

Anda mungkin ingin mempertimbangkan alat seperti Graylog ( https://www.graylog.org/features ) untuk mengelola dan memantau lingkungan pencatatan perusahaan Anda.