Entorno de reenvío de eventos de Windows (WEF) a gran escala

Actualmente utilizamos Nxlog en todos nuestros DC y enviamos esos datos a un servidor central de syslog-ng. Debido a tratar con el agente en cada computadora y la necesidad de agentes adicionales que solo admitan la lectura del visor de eventos, estamos debatiendo sobre el uso de WEF para reenviar todos los registros de DC a unos pocos servidores, por lo que tenemos menos agentes para tratar. En teoría, esto suena bien, pero a medida que comencé a leerlo, no veo ninguna capacidad de HA o agrupación. Probablemente podría utilizarlo con un balance de carga y un round robin rociando los eventos a los 5 servidores más o menos en la parte trasera, pero no estoy seguro de si eso funcionaría de la manera que quiero.

¿Alguien tiene experiencia con el uso de WEF en un entorno bastante grande? Recibimos alrededor de 200 millones de registros de eventos de Windows al día y necesitamos aumentar el nivel de registro. Además, tenemos la necesidad de que los registros estén lo más cerca posible del tiempo real, por lo que con esta escala, ¿alguien ha tenido problemas de rendimiento en los registros de reenvío de CC o en la latencia de los recolectores que los reciben?

Gracias por su ayuda y aporte.

Recomiendo encarecidamente cambiar todos sus agentes a ritmos elásticos . He usado nxlog en el pasado y simplemente no hace todo tan bien como los ritmos elásticos.

Además, están escritos en GO, por lo que no se necesitan dependencias.

Syslog-NG también es genial, pero desde entonces también cambié a logstash, admite clustering, failover, colas y muchas exportaciones diferentes (como graylog o splunk).

Por último, implementamos nuestros ritmos en Windows y Linux con Ansible.

Es posible que desee considerar una herramienta como Graylog ( https://www.graylog.org/features ) para administrar y monitorear el entorno de registro de su empresa.