当前,我们在所有DC上都使用Nxlog,并将该数据发送到中央syslog-ng服务器。由于在每台计算机上都处理代理程序,并且需要仅支持读取事件查看器的其他代理程序,因此我们正在讨论使用WEF将所有DC日志转发到少数服务器,因此我们需要处理的代理程序更少。从理论上讲,这听起来不错,但是当我开始阅读它时,我看不到任何具有HA或集群功能。我可能会在前端进行负载平衡,然后循环将事件喷洒到后端的5台左右服务器上,但不确定是否可以按照我想要的方式工作。
有没有人在相当大的环境中使用WEF的经验?我们每天会收到大约2亿个Windows事件日志,因此需要提高日志记录级别。此外,我们需要使日志尽可能接近实时,因此在这种规模下,是否有人在DC转发日志或接收日志的收集器的延迟方面遇到性能问题?
感谢您的帮助和投入。
下面的文章提供了有关如何设置HA对的一些很好的信息,但是您将在每个服务器上收到重复的信息,而不是真正的轮询类型设置。如果您只关心HA,这会起作用,但是我也关心不会出现重复现象,因此我认为它不会做我想要做的事情。(technet.microsoft.com/itpro/windows/keep-secure/...)
—
埃里克·
并没有真正回答您的问题,但是您是否尝试过使用配置管理系统(例如[saltstack(免费的Windows客户!)、,、厨师等)来配置nxlog代理?在我的前世中,我使用salt来部署nxlog和配置,这使得管理所有nxlog代理变得轻而易举。
—
史蒂夫·巴特勒