我正在考虑在我们正在build设的新build森林之一推出WEF,并想知道构build“接收”日志和订阅的最佳方式是什么。 我目前只有4个日志我创build使用https://blogs.technet.microsoft.com/russellt/2016/05/18/creating-custom-windows-event-forwarding-logs/(DCs ,服务器,工作站,非并有超过10个订阅,每个订阅都是一个事件类别,例如Windows防火墙事件,帐户和组活动事件等。
这是做这个最好的方法吗? 让目标日志影响订阅会更好吗? 也许没有对错的方法,也许有人跟我有类似的情况,有一些智慧的珍珠?
为了让您了解这个环境会是什么样子 – 我们共有4个站点,每个站点都有大约100-150个工作站和服务器。 我将在每个站点都有一个收集器,收集站点上所有计算机的事件。
感谢您的帮助
在构build收集器自定义转发事件日志以匹配订阅方面,我没有看到太多的价值。 这种自定义的configuration和连接将需要维护,并成为一个头痛的问题。
转发的事件日志旨在作为临时登台区域,其中事件在收集后通过自动化进行处理,以保存在数据库和/或报警/通知中。 它们也可能是巨大的–10的GB,由于它们是循环二进制日志,所以对处理性能没有影响。 性能的一个例外是graphics事件查看器,但转发的日志不适用于使用graphics事件查看器。
PowerShell Get-WindowsEvent或.NET自定义代码,使用事件XML查询filter,根据date/时间和事件条件过滤,快速提取CSV或XML文件所需的事件。
我没有看到任何关于每个collections家的订户数量的规定性指导,可能是因为它取决于数量。 但是我有一个收集器和默认的转发事件日志,比你描述的情况更多的订阅者,每天收集数以百万计的事件,并且没有接近容量。
如果真的有必要分开关注,我会build议打开一个单独的收集器。 虚拟服务器和存储是便宜的。