В настоящее время мы используем Nxlog на всех наших контроллерах домена и отправляем эти данные на центральный сервер syslog-ng. Из-за работы с агентом на каждом компьютере и необходимости в дополнительных агентах, которые поддерживают только чтение средства просмотра событий, мы обсуждаем возможность использования WEF для пересылки всех журналов DC на несколько серверов, поэтому нам приходится иметь дело с меньшим количеством агентов. Теоретически это звучит нормально, но когда я начал вникать в это, я не увидел никаких возможностей для HA или кластеризации. Я, вероятно, мог бы выполнить его с балансировкой нагрузки и циклическим распределением событий на 5 или около того серверов в задней части, но не уверен, что это будет работать так, как я хочу.
Есть ли у кого-нибудь опыт использования WEF в достаточно большой среде? Мы получаем около 200 миллионов журналов событий Windows в день, и нам необходимо повысить уровень ведения журналов. Кроме того, у нас есть потребность в том, чтобы журналы были максимально приближены к реальному времени, поэтому при таком масштабе, сталкивался ли кто-нибудь с проблемами производительности либо с журналами пересылки DC, либо с задержкой их получения сборщиками?
Спасибо за вашу помощь и вклад.
Я настоятельно рекомендую переключить всех ваших агентов на упругие удары. Я использовал nxlog в прошлом, и он просто не делает все так хорошо, как эластичные биты.
Плюс они написаны на ИДТИ так что никаких зависимостей не требуется.
Syslog-NG тоже хорош, но с тех пор я тоже перешел на logstash, он поддерживает кластеризацию, отработку отказа, очереди и множество различных видов экспорта (например, в Graylog или Splunk).
Наконец, мы развертываем наши биты в Windows и Linux с помощью Ansible.
Вы можете рассмотреть такой инструмент, как Graylog (https://www.graylog.org/features) для управления и мониторинга корпоративной среды ведения журналов.