Splunk Universal 转发 Windows Server 2019
配置转发器时,可以转发多种日志:
- 应用程序日志
- 安全日志
- 系统日志
- 转发事件日志
- 设置日志
此外,性能监视器还可以记录:
- CPU 负载
- 记忆
- 磁盘空间
- 网络统计
此外,还可以启用 Active Directory 监控。
尽管很想检查所有框以便在故障排除期间可以获得最大数据,但我担心这会对服务器性能产生影响。
这里有没有什么最佳实践?转发所有内容可以吗?或者最好省略哪些内容?
答案1
这是这个问题很好,但无法回答以任何实际的方式不知道你的用例
作为 @格雷格·阿斯库评论说,没有“最佳实践”——无论你:
- 想要收集,并且
- 需要收集
对于一个组织,你可能需要知道每次使用本地打印机的时间和使用人员
另一组可能只关心非域用户何时登录
并不断重复数十万种可能的互动
解释您的用例,我们可以更好地提供帮助:)