複数のドメインを持つ大規模なWindowsイベント転送

私がやろうとしていることを説明することから始めましょう。多くのWindowsサーバーにRMMツールがインストールされています。 Windowsイベントログを中央ストアに送信することはできますが、効率的または信頼性の高い方法では送信できません。 Windows ServerのネイティブWEFを使用して、冗長ノイズのいずれかを解析した特定のイベントを中央ストアに送信したいと思います（つまり、イベントID、ソース、およびユーザー名などのイベントID /ソースに固有のその他の詳細は何ですか）試行された、ワークステーション/元のIP）。これらのサーバーは同じドメイン上になく、地理的に世界中に分散しています。これを行うためのプラットフォームが多数あることは知っていますが（Splunkなど）、通常は高額であり、この単純なタスクを実行しようとすると肥大化したナンセンスになります。

私の当初のアイデアは、サーバーでWEFを構成し、それらをリッスンするようにサブスクリプションが設定された中央サーバーにログを送信し、そこでログを解析して重要な詳細を取得し、logstash/filebeat/nxlogなどを使用してそれらをプッシュすることでしたELKに送信して、重要なイベント（ログオンの失敗、セキュリティログのクリア、Kerberosのプライベートエスカレーションエクスプロイト/ゴールデンチケットの作成など）をダッシュ​​ボードできるようにします。深くなるほど、これはWEF/WinRMの使用目的ではないことに気づきました。彼らはあなたがログを保存するために同じドメインにオンプレミスサーバーを持っていることを望んでいます。私がこれに最も近いのはこの記事です： https://blogs.msdn.Microsoft.com/canberrapfe/2015/09/21/diy-client-monitoring-setting-up-tiered-event-forwarding / ただし、同じドメインに属するAD内の複数のサイトを対象としています。この場合、中央ログ保存サーバーはどのドメインにも存在せず、他の多数のドメインからのイベントログを受け入れる必要があります。

セットアップに数時間を費やす前に、ここで質問したいと思いました。これは、WEFに煩わされることなく、filebeatを使用して問題のサーバーから直接解析およびプッシュする必要があるようなものですか？そんな感じですが、当たり前のことを見落とさないように手を差し伸べたいと思いました。