WEF (Windows Event Forwarding) 대규모 환경

10

현재 모든 DC에서 Nxlog를 사용하고 해당 데이터를 중앙 syslog-ng 서버로 보냅니다. 각 컴퓨터에서 에이전트를 처리하고 이벤트 뷰어 읽기만 지원하는 추가 에이전트가 필요하기 때문에 WEF를 사용하여 모든 DC 로그를 몇 대의 서버로 전달하여 처리 할 에이전트가 더 적습니다. 이론적으로 이것은 괜찮은 것처럼 들리지만 그것을 읽었을 때 HA 또는 클러스터링에 대한 능력이 보이지 않습니다. 아마도로드 밸런스로 프런트 엔드를 처리하고 라운드 로빈을 사용하여 백 엔드의 5 대 정도의 서버에 이벤트를 스프레이 할 수는 있지만 원하는 방식으로 작동하는지 확실하지 않습니다.

누구든지 상당히 큰 환경에서 WEF를 사용한 경험이 있습니까? 하루에 약 2 억 개의 Windows 이벤트 로그가 수신되므로 로깅 수준을 높여야합니다. 또한이 스케일을 사용하여 로그를 최대한 실시간으로 만들어야 할 필요가 있습니다. DC 전달 로그 또는 로그를받는 수집기의 대기 시간에 대해 성능 문제가 발생한 사람이 있습니까?

도와 주셔서 감사합니다.

windows 
에릭
소스
아래 기사에는 HA 쌍을 설정하는 방법에 대한 유용한 정보가 있지만 실제 라운드 로빈 유형 설정 대신 각 서버에서 복제본을 수신합니다. 이것은 HA에 대해서만 관심이 있다면 효과가 있지만, 듀프를 얻지 않기를 원하므로 내가 원하는 일을하지 않을 것이라고 생각합니다. ( technet.microsoft.com/itpro/windows/keep-secure/… )
Eric
실제로 질문에 대답하지는 않지만 nxlog 에이전트를 프로비저닝하기 위해 [Saltstack (무료 Windows 클라이언트!), 꼭두각시, 요리사 등]과 같은 구성 관리 시스템을 사용해 보셨습니까? 과거에는 솔트를 사용하여 nxlog 및 구성을 배포했으며 모든 nxlog 에이전트를 관리하기가 쉬웠습니다.
Steve Butler

답변:

1

모든 요원을 탄력적 인 비트로 바꾸는 것이 좋습니다 . 나는 과거에 nxlog를 사용했으며 단순히 탄성 비트만큼 좋은 모든 것을하지는 않습니다.

또한 GO 로 작성 되므로 종속성이 필요하지 않습니다.

Syslog-NG도 훌륭하지만 여기서는 logstash로 전환 한 후 클러스터링, 장애 조치, 대기열 및 많은 내보내기 (예 : graylog 또는 splunk)를 지원합니다.

마지막으로 Ansible을 사용하여 비트를 Windows 및 Linux에 배포합니다.

제이콥 에반스
소스
-2

엔터프라이즈 로깅 환경을 관리하고 모니터링하기 위해 Graylog ( https://www.graylog.org/features ) 와 같은 도구를 고려할 수 있습니다 .

크리스 휴이
소스
나는 asker가 WEF 사용에 대한 통찰력을 정말로 원했다고 생각합니다. WEF에 문제가 발생한 후 Graylog를 사용하기 시작 했습니까 (또는 특정 이유로 WEF에서 선택 했습니까)?
iwaseatenbyagrue
이것은 질문과 관련이 없습니다 ..
willemdh
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.