Середовище великих масштабів для переадресації подій Windows (WEF)

В даний час ми використовуємо Nxlog на всіх наших постійних комп'ютерах і надсилаємо ці дані на центральний сервер syslog-ng. Завдяки роботі з агентом на кожному комп’ютері та потребою у додаткових агентах, які підтримують лише читання програми перегляду подій, ми обговорюємо питання щодо використання WEF для пересилання всіх журналів постійного струму на декілька серверів, щоб у нас було менше агентів, з якими можна мати справу. Теоретично це звучить прекрасно, але, коли я почав читати це, я не бачу ніякої здатності до НА та кластеризації. Можливо, я міг би передньою частиною збалансувати навантаження і кругообіг розпорошити події на 5 або більше серверів на зворотному кінці, але не впевнений, чи спрацює це так, як я хочу.

Хтось має досвід використання WEF у досить великих умовах? На день ми отримуємо близько 200 мільйонів журналів подій Windows і потребуємо підвищення рівня реєстрації. Крім того, у нас є необхідність, щоб журнали знаходилися якомога ближче до реального часу, тому з цією шкалою хтось зіткнувся з проблемою продуктивності або журналів переадресації постійного струму, або затримки колекторів, які їх отримують?

Дякуємо за вашу допомогу та внесок.

Я б дуже рекомендував переключити всі ваші агенти на пружні удари . Раніше я використовував nxlog і він просто не робить все так добре, як пружні удари.

Плюс вони написані в GO, тому не потрібно залежностей.

Syslog-NG теж чудовий, але я з тих пір перейшов на logstash і тут, він підтримує кластеризацію, відмову, черги та багато експорту різних (як, наприклад, сірий журнал або спанг).

Нарешті, ми розгортаємо наші удари у windows та linux за допомогою Ansible.

Можливо, ви захочете розглянути такий інструмент, як Graylog ( https://www.graylog.org/features ) для керування та моніторингу вашого корпоративного середовища реєстрації.