Windowsイベント転送を使用してログとサブスクリプションを構造化するための最良の方法
建設中の新しいフォレストの1つでWEFを展開することを検討しており、「受信」ログとサブスクリプションを構造化するための最良の方法は何かと考えていました。現在、 https://blogs.technet.Microsoft.com/russellt/2016/05/18/creating-custom-windows-event-forwarding-logs/ (( DC、サーバー、ワークステーション、非ドメインコンピューター)、および10を超えるサブスクリプションがあり、それぞれがイベントのカテゴリです。 Windowsファイアウォールイベント、アカウントおよびグループアクティビティイベントなど。
これはこれを行うための最良の方法ですか?宛先ログにサブスクリプションをシャドウイングさせる方がよいでしょうか?正しい方法も間違った方法もないかもしれませんが、誰かが私と同じような状況にあり、いくつかの知恵を持っているのでしょうか?
この環境がどのようになるかを理解するために、合計4つのサイトがあり、それぞれに約100〜150台のワークステーションとサーバーがあります。各サイトにコレクターを設置し、サイト内のすべてのコンピューターのイベントを収集します。
お手伝いありがとう
サブスクリプションに一致するようにコレクターのカスタム転送イベントログを構造化することにあまり価値がありません。この種のカスタム構成とリンクは、メンテナンスが必要であり、頭痛の種になります。
転送されたイベントログは、データベースに保存したり、アラーム/通知を行ったりするために、収集後にイベントが自動化によって処理される一時的なステージング領域を目的としています。また、循環バイナリログであるため、処理パフォーマンスに影響を与えることなく、数十GBの巨大なものになる可能性があります。パフォーマンスの唯一の例外はグラフィカルイベントビューアですが、転送されたログはグラフィカルイベントビューアを使用するためのものではありません。
PowerShell Get-WindowsEventまたは.NETカスタムコード。イベントXMLクエリフィルターを使用して、日付/時刻とイベント基準によるフィルター処理に基づいて、CSVまたはXMLファイルに必要なイベントをすばやく抽出します。
コレクターあたりのサブスクライバー数に関する規範的なガイダンスは見ていません。おそらくボリュームに依存するためです。しかし、私には1つのコレクターがあり、デフォルトの転送イベントログには、説明したシナリオよりも多くのサブスクライバーが含まれています。これは、1日あたり数百万のイベントを収集し、容量に近くありません。
関心の分離が本当に必要な場合は、別のコレクターを立ち上げることをお勧めします。仮想サーバーとストレージは安価です。