我正在考虑在我们正在建设的一个新森林中推广 WEF,并想知道构建“接收”日志和订阅的最佳方式是什么。我目前只有 4 个使用创建的日志https://blogs.technet.microsoft.com/russellt/2016/05/18/creating-custom-windows-event-forwarding-logs/(DC、服务器、工作站、非域计算机),并且拥有超过 10 个订阅,每个订阅都是一个事件类别,例如 Windows 防火墙事件、帐户和组活动事件等。
这是最好的方法吗?让目标日志覆盖订阅会更好吗?也许没有正确或错误的方法,但也许有人与我的情况相似,并且有一些智慧的见解?
为了让您了解这个环境将会是什么样的 - 我们总共有 4 个站点,每个站点大约有 100 - 150 个工作站和服务器。我将在每个站点设置一个收集器,用于收集站点上所有计算机的事件。
感谢您的帮助
答案1
我没有看到将收集器自定义转发事件日志结构化以匹配订阅有多大价值。这种自定义配置和链接需要维护,而且很麻烦。
转发事件日志旨在作为临时暂存区,事件在收集后由自动化处理,以保存在数据库中和/或发出警报/通知。它们也可能非常大 - 数十 GB,但不会影响加工性能,因为它们是循环二进制日志。性能的一个例外是图形事件查看器,但转发日志不适用于使用图形事件查看器。
PowerShell Get-WindowsEvent 或 .NET 自定义代码,根据日期/时间和事件条件的过滤,使用事件 XML 查询过滤器,快速提取 CSV 或 XML 文件中所需的事件。
我还没有看到关于每个收集器订阅者数量的任何规定性指导,可能是因为这取决于数量。但我有一个收集器和默认转发事件日志,其订阅者数量比您描述的场景多,每天收集数百万个事件,但还远远没有达到容量上限。
如果确实需要分离关注点,我建议启用单独的收集器。虚拟服务器和存储成本不高。