Ambiente de grande escala do Windows Event Forwarding (WEF)

Atualmente, usamos o Nxlog em todos os nossos controladores de domínio e enviamos esses dados para um servidor syslog-ng central. Devido a lidar com o agente em cada computador e a necessidade de agentes adicionais que suportam apenas a leitura do visualizador de eventos, estamos debatendo sobre o uso do WEF para encaminhar todos os logs de DC para alguns servidores, para que tenhamos menos agentes com os quais lidar. Em teoria, isso parece bom, mas, quando comecei a ler, não vejo nenhuma capacidade de HA ou cluster. Provavelmente, eu poderia fazer o front-end com um equilíbrio de carga e o round robin pulverizar os eventos nos 5 ou mais servidores no back-end, mas não tenho certeza se isso funcionaria da maneira que eu quero.

Alguém tem experiência com o uso do WEF em um ambiente razoavelmente grande? Recebemos cerca de 200 milhões de logs de eventos do Windows por dia e precisamos aumentar o nível de log. Além disso, temos a necessidade de que os logs sejam o mais próximo possível do tempo real. Portanto, nessa escala, alguém teve problemas de desempenho nos logs de encaminhamento de DC ou na latência dos coletores que os receberam?

Obrigado pela sua ajuda e contribuição.

Eu recomendo mudar todos os seus agentes para batidas elásticas . Eu usei o nxlog no passado e ele simplesmente não faz tudo tão bom quanto as batidas elásticas.

Além disso, eles são escritos no GO, portanto não são necessárias dependências.

O Syslog-NG também é ótimo, mas também mudei para o logstash aqui, pois suporta cluster, failover, filas e muitas exportações diferentes (como graylog ou splunk).

Por fim, implementamos nossas batidas no Windows e Linux com o Ansible.

Você pode considerar uma ferramenta como o Graylog ( https://www.graylog.org/features ) para gerenciar e monitorar seu ambiente de log corporativo.