Крупномасштабная среда пересылки событий Windows (WEF)

В настоящее время мы используем Nxlog на всех наших контроллерах домена и отправляем эти данные на центральный сервер syslog-ng. Из-за работы с агентами на каждом компьютере и необходимости в дополнительных агентах, которые поддерживают только чтение средства просмотра событий, мы обсуждаем вопрос об использовании WEF для пересылки всех журналов DC на несколько серверов, поэтому у нас меньше агентов для работы. Теоретически это звучит хорошо, но, как я начал читать, я не вижу возможности для HA или кластеризации. Я мог бы, вероятно, выполнить его с балансировкой нагрузки и циклически распределить события на 5 или около того серверах на задней части, но не уверен, что это сработает так, как я хочу.

У кого-нибудь есть опыт использования WEF в довольно большой среде? Мы получаем около 200 миллионов журналов событий Windows в день, и нам необходимо повысить уровень журналирования. Кроме того, нам необходимо, чтобы журналы были как можно ближе к реальному времени, поэтому при таком масштабе кто-нибудь сталкивался с проблемой производительности журналов переадресации постоянного тока или задержки принимающих их коллекторов?

Спасибо за вашу помощь и вклад.

Я очень рекомендую переключить все ваши агенты на эластичные удары . Я использовал nxlog в прошлом, и он просто не делает все так хорошо, как эластичные ритмы.

Кроме того, они написаны на GO, поэтому никаких зависимостей не требуется.

Syslog-NG тоже великолепен, но с тех пор я также перешел на logstash, он поддерживает кластеризацию, отработку отказа, очереди и многие другие операции экспорта (например, в graylog или splunk).

Наконец, мы развертываем наши биты в windows и linux с помощью Ansible.

Возможно, вы захотите рассмотреть такой инструмент, как Graylog ( https://www.graylog.org/features ) для управления и мониторинга среды ведения журнала предприятия.