Wir verwenden derzeit Nxlog auf allen unseren Domänencontrollern und senden diese Daten an einen zentralen Syslog-ng-Server. Aufgrund des Umgangs mit dem Agenten auf jedem Computer und der Notwendigkeit zusätzlicher Agenten, die nur das Lesen der Ereignisanzeige unterstützen, diskutieren wir über die Verwendung von WEF, um alle DC-Protokolle an einige Server weiterzuleiten, sodass weniger Agenten zu bearbeiten sind. Theoretisch hört sich das gut an, aber als ich anfing, darin zu lesen, sehe ich keine Fähigkeit für HA oder Clustering. Ich könnte es wahrscheinlich mit einem Lastausgleich und Round-Robin-Sprühen der Ereignisse auf die etwa 5 Server am hinteren Ende bringen, bin mir aber nicht sicher, ob das so funktionieren würde, wie ich es möchte.
Hat jemand Erfahrung mit der Verwendung von WEF in einer ziemlich großen Umgebung? Wir erhalten täglich rund 200 Millionen Windows-Ereignisprotokolle und müssen die Protokollierungsstufe erhöhen. Außerdem müssen die Protokolle so zeitnah wie möglich sein. Ist bei dieser Skala jemand auf Leistungsprobleme bei den DC-Weiterleitungsprotokollen oder auf die Latenz der Kollektoren gestoßen, die sie empfangen?
Vielen Dank für Ihre Hilfe und Anregungen.
Antworten:
Ich würde wärmstens empfehlen, alle Ihre Agenten auf elastische Beats umzustellen . Ich habe in der Vergangenheit nxlog verwendet und es macht einfach nicht alles so schön wie elastische Beats.
Außerdem sind sie in GO geschrieben, sodass keine Abhängigkeiten erforderlich sind.
Syslog-NG ist auch großartig, aber seitdem habe ich auch hier auf Logstash umgestellt. Es unterstützt Clustering, Failover, Warteschlangen und viele verschiedene Exporte (wie Graylog oder Splunk).
Zuletzt stellen wir unsere Beats mit Ansible für Windows und Linux bereit.
quelle
Möglicherweise möchten Sie ein Tool wie Graylog ( https://www.graylog.org/features ) in Betracht ziehen , um Ihre Unternehmensprotokollierungsumgebung zu verwalten und zu überwachen.
quelle