Nous utilisons actuellement Nxlog sur tous nos contrôleurs de domaine et envoyons ces données à un serveur central syslog-ng. En raison du traitement de l'agent sur chaque ordinateur et du besoin d'agents supplémentaires qui ne prennent en charge que la lecture de l'observateur d'événements, nous débattons de l'utilisation de WEF pour transférer tous les journaux DC vers quelques serveurs afin que nous ayons moins d'agents à traiter. En théorie, cela semble bien, mais comme j'ai commencé à y lire, je ne vois aucune capacité pour HA ou le clustering. Je pourrais probablement le front-end avec un équilibre de charge et un round robin vaporiser les événements sur les 5 serveurs environ à l'arrière, mais je ne sais pas si cela fonctionnerait comme je le souhaite.
Quelqu'un a-t-il de l'expérience avec l'utilisation de WEF dans un environnement assez vaste? Nous recevons environ 200 millions de journaux d'événements Windows par jour et devons augmenter le niveau de journalisation. De plus, nous avons besoin que les journaux soient aussi proches du temps réel que possible, donc avec cette échelle, quelqu'un a-t-il rencontré des problèmes de performances sur les journaux de transfert DC ou sur la latence des collecteurs qui les reçoivent?
Merci pour votre aide et votre contribution.
Réponses:
Je recommanderais fortement de changer tous vos agents en battements élastiques . J'ai utilisé nxlog dans le passé et il ne fait tout simplement pas aussi bien que les battements élastiques.
De plus, ils sont écrits en GO donc aucune dépendance n'est nécessaire.
Syslog-NG est également très bien, mais depuis, je suis également passé à logstash, il prend en charge le clustering, le basculement, les files d'attente et de nombreuses exportations différentes (comme graylog ou splunk).
Enfin, nous déployons nos temps sur Windows et Linux avec Ansible.
la source
Vous voudrez peut-être envisager un outil comme Graylog ( https://www.graylog.org/features ) pour gérer et surveiller votre environnement de journalisation d'entreprise.
la source