La meilleure manière de structurer les journaux et les abonnements avec Windows Event Forwarding

Je considère le deployment du WEF dans l'une de nos nouvelles forêts en cours de construction et nous nous demandons quelle serait la meilleure façon de structurer les journaux et les abonnements «recevant». Je n'ai actuellement que 4 logs que j'ai créés en utilisant https://blogs.technet.microsoft.com/russellt/2016/05/18/creating-custom-windows-event-forwarding-logs/ (DC, servers, posts de travail, non -domain ordinateurs) et ont un peu plus de 10 abonnements où chacun est une catégorie d'événement, par exemple, events de pare-feu Windows, events de count et de groupe, etc.

Est-ce la meilleure façon de le faire? Est-il préférable que les journaux de destination omettent les souscriptions? Peut-être qu'il n'y a pas de raison ou de mauvaise façon, mais peut-être que quelqu'un est dans une situation similaire à moi et a des perles de sagesse?

Pour vous donner une idée de ce que sera cet environnement – nous avons un total de 4 sites, chacun avec environ 100 à 150 posts de travail et servers. J'aurai un collectionneur sur chaque site qui rassemble des events pour tous les ordinateurs sur le site.

Merci pour l'aide

One Solution collect form web for “La meilleure manière de structurer les journaux et les abonnements avec Windows Event Forwarding”

Je n'ai pas vu beaucoup de valeur dans la structuration des journaux d'events réquisitionnés personnalisés pour correspondre aux abonnements. Ce type de configuration personnalisée et de binding nécessiterait une maintenance et un mal de tête.

Les journaux d'events renvoyés sont destinés à être des zones temporaires où les events sont traités par automation après la collecte pour l'logging dans une database et / ou l'alarme / notification. Ils peuvent également être énormes – 10 s de GB, sans impact sur les performances de traitement , en raison de leurs journaux binarys circulaires. La seule exception pour la performance est le visualiseur d'events charts, mais les journaux renvoyés ne sont pas destinés à utiliser le visualiseur d'events charts.

PowerShell Get-WindowsEvent ou .NET code personnalisé pour extraire rapidement les events nécessaires à un file CSV ou XML, en fonction du filtrage par date / heure et critères d'événement, en utilisant les filters de requêtes XML d'événement.

Je n'ai pas vu de directives prescriptives sur le nombre d'abonnés par collectionneur, probablement parce que cela dépend du volume. Mais j'ai un collecteur et les events par envoi par défaut enregistrés avec plus d'abonnés que le scénario que vous décrivez, qui collecte des millions d'events par jour et n'est pas proche de la capacité.

Lorsqu'une séparation des préoccupations est vraiment nécessaire, je reorderais de placer un collecteur séparé. Les servers virtuels et le stockage sont peu coûteux.

  • La politique de groupe n'est pas appliquée au count de service
  • Windows Server 2012 zone internet
  • Espaces de stockage - Pourquoi utiliser la parité?
  • Web cam chez RDS 2012 r2 clients?
  • Comment puis-je supprimer une stratégie de groupe sans accéder au domaine (controller)?
  • Événement 4625 Échec de l'audit NULL SID a échoué sur les connections réseau
  • Surveillance post-patch de Windows
  • Puis-je simplement append un server2012R2 DC pour join les DC Server2008R2?
  • Arrêtez Windows Server 2012, les outils OEM Foundation Edition de téléphoner à la maison
  • Un server de sauts est-il vraiment nécessaire lorsque vous utilisez RDC pour vous connecter à Azure VM?
  • Pourquoi voudrais-je résoudre les noms de domaine externes dans un réseau testlab interne? [fermé]
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.