使用 Windows 事件轉發建構日誌和訂閱的最佳方式
我正在考慮在我們正在建設的一個新森林中推出 WEF,並且想知道建構“接收”日誌和訂閱的最佳方式是什麼。我目前只有 4 個使用https://blogs.technet.microsoft.com/russellt/2016/05/18/creating-custom-windows-event-forwarding-logs/創建的日誌(DC、伺服器、工作站、非-域電腦),並且只有 10 多個訂閱,其中每個訂閱都是一類事件,例如 Windows 防火牆事件、帳戶和組活動事件等。
這是最好的方法嗎?讓目標日誌隱藏訂閱會更好嗎?也許沒有對錯之分,但也許有人和我的情況相似,有一些智慧?
為了讓您了解這個環境會是什麼樣子——我們總共有 4 個站點,每個站點大約有 100 到 150 個工作站和伺服器。我將在每個站點都有一個收集器,用於收集站點上所有電腦的事件。
感謝您的幫助
在建構收集器自定義轉發事件日誌以匹配訂閱方面,我沒有看到太多價值。這種自定義配置和連結將需要維護並且令人頭疼。
轉發的事件日誌旨在作為臨時暫存區域,其中事件在收集後由自動化處理以保存在數據庫和/或警報/通知中。它們也可能很大——10 GB,對處理性能沒有影響,因為它們是循環二進制日誌。性能方面的一個例外是圖形事件查看器,但轉發的日誌不適合使用圖形事件查看器。
PowerShell Get-WindowsEvent 或 .NET 自定義程式碼,使用事件 XML 查詢過濾器,基於按日期/時間和事件條件過濾,快速提取 CSV 或 XML 文件所需的事件。
我沒有看到任何關於每個收集器的訂閱者數量的規定性指導,可能是因為它取決於數量。但是我有一個收集器,預設轉發事件日誌的訂閱者比您描述的場景多,每天收集數百萬個事件並且不接近容量。
在真正需要分離關注點的地方,我建議打開一個單獨的收集器。虛擬伺服器和儲存成本低廉。