WEF-Umgebung (Windows Event Forwarding) in großem Maßstab

10

Wir verwenden derzeit Nxlog auf allen unseren Domänencontrollern und senden diese Daten an einen zentralen Syslog-ng-Server. Aufgrund des Umgangs mit dem Agenten auf jedem Computer und der Notwendigkeit zusätzlicher Agenten, die nur das Lesen der Ereignisanzeige unterstützen, diskutieren wir über die Verwendung von WEF, um alle DC-Protokolle an einige Server weiterzuleiten, sodass weniger Agenten zu bearbeiten sind. Theoretisch hört sich das gut an, aber als ich anfing, darin zu lesen, sehe ich keine Fähigkeit für HA oder Clustering. Ich könnte es wahrscheinlich mit einem Lastausgleich und Round-Robin-Sprühen der Ereignisse auf die etwa 5 Server am hinteren Ende bringen, bin mir aber nicht sicher, ob das so funktionieren würde, wie ich es möchte.

Hat jemand Erfahrung mit der Verwendung von WEF in einer ziemlich großen Umgebung? Wir erhalten täglich rund 200 Millionen Windows-Ereignisprotokolle und müssen die Protokollierungsstufe erhöhen. Außerdem müssen die Protokolle so zeitnah wie möglich sein. Ist bei dieser Skala jemand auf Leistungsprobleme bei den DC-Weiterleitungsprotokollen oder auf die Latenz der Kollektoren gestoßen, die sie empfangen?

Vielen Dank für Ihre Hilfe und Anregungen.

windows 
Eric
quelle
Der folgende Artikel enthält einige gute Informationen zum Einrichten eines HA-Paares. Sie würden jedoch auf jedem Server Duplikate erhalten, anstatt ein echtes Round-Robin-Setup zu sein. Dies würde funktionieren, wenn Sie sich nur für HA interessieren, aber es ist mir wichtig, dass ich nicht auch Dups bekomme, also denke ich nicht, dass es das tut, was ich will. ( technet.microsoft.com/itpro/windows/keep-secure/… )
Eric
Sie haben Ihre Frage nicht wirklich beantwortet, aber haben Sie versucht, ein Konfigurationsverwaltungssystem wie [Saltstack (kostenlose Windows-Clients!), Marionette, Koch usw.] für die Bereitstellung der nxlog-Agenten zu verwenden? In meinem früheren Leben habe ich Salt verwendet, um nxlog und die Konfiguration bereitzustellen. Es war ein Kinderspiel, alle nxlog-Agenten zu verwalten.
Steve Butler

Antworten:

1

Ich würde wärmstens empfehlen, alle Ihre Agenten auf elastische Beats umzustellen . Ich habe in der Vergangenheit nxlog verwendet und es macht einfach nicht alles so schön wie elastische Beats.

Außerdem sind sie in GO geschrieben, sodass keine Abhängigkeiten erforderlich sind.

Syslog-NG ist auch großartig, aber seitdem habe ich auch hier auf Logstash umgestellt. Es unterstützt Clustering, Failover, Warteschlangen und viele verschiedene Exporte (wie Graylog oder Splunk).

Zuletzt stellen wir unsere Beats mit Ansible für Windows und Linux bereit.

Jacob Evans
quelle
-2

Möglicherweise möchten Sie ein Tool wie Graylog ( https://www.graylog.org/features ) in Betracht ziehen , um Ihre Unternehmensprotokollierungsumgebung zu verwalten und zu überwachen.

Chris Huey
quelle
Ich denke, der Fragesteller wollte wirklich einen Einblick in die Verwendung von WEF - haben Sie angefangen, Graylog zu verwenden, nachdem Sie auf Probleme mit WEF gestoßen sind (oder haben Sie es aus einem bestimmten Grund über WEF ausgewählt)?
Ich wurde am
Dies ist so nicht relevant für die Frage ..
Willemdh
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.