Windows 事件转发 (WEF) 大型环境

我们目前在所有 DC 上使用 Nxlog，并将数据发送到中央 syslog-ng 服务器。由于要处理每台计算机上的代理，并且需要仅支持读取事件查看器的额外代理，我们正在讨论是否使用 WEF 将所有 DC 日志转发到几个服务器，这样我们就可以处理更少的代理。理论上这听起来不错，但当我开始阅读它时，我没有看到任何 HA 或集群功能。我可能可以在前端使用负载平衡，然后循环将事件发送到后端的 5 个左右的服务器，但不确定这是否会按我想要的方式工作。

有人在相当大的环境中使用过 WEF 吗？我们每天收到大约 2 亿个 Windows 事件日志，需要提高日志记录级别。此外，我们需要日志尽可能接近实时，因此在这种规模下，有人遇到过 DC 转发日志或收集器接收日志的延迟方面的性能问题吗？

感谢您的帮助和意见。