Environnement à grande échelle de transfert d'événements Windows (WEF)

10

Nous utilisons actuellement Nxlog sur tous nos contrôleurs de domaine et envoyons ces données à un serveur central syslog-ng. En raison du traitement de l'agent sur chaque ordinateur et du besoin d'agents supplémentaires qui ne prennent en charge que la lecture de l'observateur d'événements, nous débattons de l'utilisation de WEF pour transférer tous les journaux DC vers quelques serveurs afin que nous ayons moins d'agents à traiter. En théorie, cela semble bien, mais comme j'ai commencé à y lire, je ne vois aucune capacité pour HA ou le clustering. Je pourrais probablement le front-end avec un équilibre de charge et un round robin vaporiser les événements sur les 5 serveurs environ à l'arrière, mais je ne sais pas si cela fonctionnerait comme je le souhaite.

Quelqu'un a-t-il de l'expérience avec l'utilisation de WEF dans un environnement assez vaste? Nous recevons environ 200 millions de journaux d'événements Windows par jour et devons augmenter le niveau de journalisation. De plus, nous avons besoin que les journaux soient aussi proches du temps réel que possible, donc avec cette échelle, quelqu'un a-t-il rencontré des problèmes de performances sur les journaux de transfert DC ou sur la latence des collecteurs qui les reçoivent?

Merci pour votre aide et votre contribution.

Eric
la source
L'article ci-dessous contient de bonnes informations sur la façon de configurer une paire HA, mais vous recevrez des doublons sur chaque serveur au lieu d'être une véritable configuration de type à tour de rôle. Cela fonctionnerait si vous ne vous souciez que de HA, mais je me soucie de ne pas avoir de dupes aussi, donc je ne pense pas que cela fera ce que je veux qu'il fasse. ( technet.microsoft.com/itpro/windows/keep-secure/… )
Eric
ne répondant pas vraiment à votre question, mais avez-vous essayé d'utiliser un système de gestion de configuration comme [saltstack (clients Windows gratuits!), marionnette, chef, etc.] pour provisionner les agents nxlog? Dans ma vie passée, j'utilisais salt pour déployer nxlog et la configuration, cela en faisait un jeu d'enfant pour gérer tous les agents nxlog.
Steve Butler

Réponses:

1

Je recommanderais fortement de changer tous vos agents en battements élastiques . J'ai utilisé nxlog dans le passé et il ne fait tout simplement pas aussi bien que les battements élastiques.

De plus, ils sont écrits en GO donc aucune dépendance n'est nécessaire.

Syslog-NG est également très bien, mais depuis, je suis également passé à logstash, il prend en charge le clustering, le basculement, les files d'attente et de nombreuses exportations différentes (comme graylog ou splunk).

Enfin, nous déployons nos temps sur Windows et Linux avec Ansible.

Jacob Evans
la source
-2

Vous voudrez peut-être envisager un outil comme Graylog ( https://www.graylog.org/features ) pour gérer et surveiller votre environnement de journalisation d'entreprise.

Chris Huey
la source
Je pense que le demandeur voulait vraiment un aperçu de l'utilisation de WEF - avez-vous commencé à utiliser Graylog après avoir rencontré des problèmes avec WEF (ou l'avoir choisi via WEF pour une raison spécifique)?
iwaseatenbyagrue
Ce n'est donc pas pertinent pour la question ..
willemdh