Ambiente su larga scala di Windows Event Forwarding (WEF)

Attualmente utilizziamo Nxlog su tutti i nostri controller di dominio e inviamo tali dati a un server centrale syslog-ng. A causa del rapporto con l'agente su ciascun computer e della necessità di agenti aggiuntivi che supportano solo la lettura del Visualizzatore eventi, stiamo discutendo dell'utilizzo di WEF per inoltrare tutti i registri DC a pochi server, quindi abbiamo meno agenti da gestire. In teoria questo suona bene, ma quando ho iniziato a leggere in esso, non vedo alcuna capacità di HA o di clustering. Probabilmente potrei front-end con un bilanciamento del carico e round robin spruzzare gli eventi sui 5 server o meno sul back-end, ma non sono sicuro che funzionerebbe nel modo desiderato.

Qualcuno ha esperienza con l'utilizzo di WEF in un ambiente abbastanza grande? Riceviamo circa 200 milioni di registri eventi di Windows al giorno e dobbiamo aumentare il livello di registrazione. Inoltre, abbiamo la necessità che i registri siano il più vicino possibile in tempo reale, quindi con questa scala, qualcuno ha riscontrato problemi di prestazioni sui registri di inoltro DC o sulla latenza dei raccoglitori che li ricevono?

Grazie per l'aiuto e il contributo.

Consiglio vivamente di cambiare tutti i tuoi agenti in battiti elastici . Ho usato nxlog in passato e semplicemente non fa nulla di bello come i battiti elastici.

Inoltre sono scritti in GO, quindi non sono necessarie dipendenze.

Anche Syslog-NG è fantastico, ma da allora sono passato anche al logstash, supporta clustering, failover, code e molte esportazioni diverse (come graylog o splunk).

Infine, distribuiamo i nostri ritmi su Windows e Linux con Ansible.

Potresti prendere in considerazione uno strumento come Graylog ( https://www.graylog.org/features ) per gestire e monitorare il tuo ambiente di registrazione aziendale.