Windows Event Forwarding (WEF) Môi trường quy mô lớn

Chúng tôi hiện đang sử dụng Nxlog trên tất cả các DC của chúng tôi và gửi dữ liệu đó đến một máy chủ syslog-ng trung tâm. Do phải giao dịch với đại lý trên mỗi máy tính và cần thêm các đại lý chỉ hỗ trợ đọc trình xem sự kiện, chúng tôi đang tranh luận về việc sử dụng WEF để chuyển tiếp tất cả nhật ký DC đến một vài máy chủ để chúng tôi có ít đại lý hơn để xử lý. Về lý thuyết điều này nghe có vẻ tốt, nhưng khi tôi bắt đầu đọc nó, tôi không thấy bất kỳ khả năng nào cho HA hoặc phân cụm. Tôi có thể có thể kết thúc nó với một sự cân bằng tải và vòng tròn phun các sự kiện đến 5 máy chủ ở phía sau nhưng không chắc điều đó có hoạt động theo cách tôi muốn không.

Có ai có kinh nghiệm sử dụng WEF trong một môi trường khá rộng lớn không? Chúng tôi nhận được khoảng 200 triệu bản ghi sự kiện Windows mỗi ngày và cần tăng mức ghi nhật ký. Ngoài ra, chúng tôi có nhu cầu nhật ký càng gần thời gian thực càng tốt, vì vậy với quy mô này, có ai gặp phải vấn đề về hiệu suất đối với nhật ký chuyển tiếp DC hoặc độ trễ của người thu thập nhận chúng không?

Cảm ơn sự giúp đỡ và đầu vào của bạn.

Tôi rất khuyên bạn nên chuyển tất cả các đại lý của bạn sang nhịp đàn hồi . Tôi đã sử dụng nxlog trong quá khứ và đơn giản là nó không làm mọi thứ tốt như nhịp đàn hồi có.

Thêm vào đó chúng được viết bằng GO nên không cần phụ thuộc.

Syslog-NG cũng rất tuyệt, nhưng tôi cũng đã chuyển sang logstash ở đây, nó hỗ trợ phân cụm, chuyển đổi dự phòng, hàng đợi và nhiều bản xuất khác nhau (như Graylog hoặc splunk).

Cuối cùng, chúng tôi triển khai các nhịp đập của chúng tôi lên windows và linux với Ansible.

Bạn có thể muốn xem xét một công cụ như Graylog ( https://www.graylog.org/features ) để quản lý và giám sát môi trường đăng nhập doanh nghiệp của bạn.