我们目前在所有数据中心都使用Nxlog,并将这些数据发送到中央系统日志服务器。 由于与每台计算机上的代理进行交互以及需要额外的只支持阅读事件查看器的代理,因此我们正在讨论如何使用WEF将所有DC日志转发给几台服务器,这样我们就可以处理更less的代理。 理论上这听起来不错,但是当我开始阅读时,我没有看到HA或集群的能力。 我可能会用一个负载平衡来结束它,循环赛将事件喷到后端的5台左右的服务器上,但不知道是否按照我想要的方式工作。
有没有人在相当大的环境中使用WEF的经验? 我们每天收到大约2亿个Windows事件日志,需要增加日志logging级别。 另外,我们也需要日志尽可能接近实时,所以有了这个规模,有没有人遇到性能问题,无论是直stream转发日志还是收集器收到的延迟?
感谢您的帮助和意见。
我强烈build议将所有代理切换到弹性节拍 。 过去我曾经用过nxlog,并没有像弹性节拍那样做得很好。
另外他们写在GO所以没有依赖需要。
Syslog-NG也很棒,但是我已经在这里切换到logstash,它支持群集,故障切换,队列和许多不同的输出(如graylog或splunk)。
最后,我们用Ansible来部署我们的节奏到windows和linux。
您可能需要考虑像Graylog( https://www.graylog.org/features )这样的工具来pipe理和监控您的企业日志环境。