我们目前在所有 DC 上使用 Nxlog,并将该数据发送到中央 syslog-ng 服务器。由于处理每台计算机上的代理以及需要仅支持读取事件查看器的附加代理,我们正在讨论使用 WEF 将所有 DC 日志转发到几台服务器,以便我们处理的代理更少。理论上这听起来不错,但是当我开始阅读它时,我没有看到任何 HA 或集群的能力。我可能会在前端使用负载平衡和循环将事件喷射到后端的 5 个左右的服务器,但不确定这是否会按照我想要的方式工作。
有没有人有在相当大的环境中使用 WEF 的经验?我们每天收到大约 2 亿个 Windows 事件日志,需要提高日志记录级别。此外,我们需要日志尽可能接近实时,因此在这种规模下,有没有人遇到过 DC 转发日志或收集器接收它们的延迟的性能问题?
感谢您的帮助和投入。
我强烈建议将所有代理切换为elasticbeats。我过去使用过 nxlog,它根本无法像 Elastic Beats 那样完成所有事情。
另外,它们是用GO编写的,因此不需要依赖项。
Syslog-NG 也很棒,但我也在这里切换到了 Logstash,它支持集群、故障转移、队列和许多不同的导出(例如graylog 或 splunk)。
最后,我们使用 Ansible 将 Beats 部署到 Windows 和 Linux。
| 归档时间: |
|
| 查看次数: |
2574 次 |
| 最近记录: |