我的情景:
我希望有几台Windows服务器将事件转发给收集器A或收集器B,依此类推。
我尝试了什么:
设置GPO: 计算机设置 - 策略 - 管理模板 - Windows组件 - 事件转发 - 配置目标订阅管理器
Server=http://Collectors.contoso.com:5985/wsman/SubscriptionManager/WEC
其中Collectors是群集的名称(通过NLB设置),其中收集者A和B是其成员。
问题:没有转发任何事件。
Event-Forwaring如何实际运作? 使用网络负载平衡(NLB)是否可行且有用?
注意: 我正在使用WinServ 2012R2并且所有防火墙都被禁用。
我的订阅von收集者A和B:
<?xml version="1.0" encoding="UTF-8"?>
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
<SubscriptionId>pull1</SubscriptionId>
<SubscriptionType>SourceInitiated</SubscriptionType>
<Description></Description>
<Enabled>true</Enabled>
<Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
<ConfigurationMode>Normal</ConfigurationMode>
<Delivery Mode="Push">
<Batching>
<MaxLatencyTime>900000</MaxLatencyTime>
</Batching>
<PushSettings>
<Heartbeat Interval="900000"/>
</PushSettings>
</Delivery>
<Query>
<![CDATA[
<QueryList><Query Id="0"><Select Path="Application">*</Select><Select Path="Security">*</Select><Select Path="Setup">*</Select><Select Path="System">*</Select><Select Path="ForwardedEvents">*</Select></Query></QueryList>
]]>
</Query>
<ReadExistingEvents>false</ReadExistingEvents>
<TransportName>HTTP</TransportName>
<ContentFormat>RenderedText</ContentFormat>
<Locale Language="en-US"/>
<LogFile>ForwardedEvents</LogFile>
<PublisherName>Microsoft-Windows-EventCollector</PublisherName>
<AllowedSourceNonDomainComputers>
<AllowedIssuerCAList>
</AllowedIssuerCAList>
</AllowedSourceNonDomainComputers>
<AllowedSourceDomainComputers>O:NSG:BAD:P(A;;GA;;;DC)S:</AllowedSourceDomainComputers>
</Subscription>
由于
答案 0 :(得分:1)
我知道问这个问题已经好几年了,但是......
据我所知,没有简单的方法来对Windows事件转发服务进行负载均衡。但是,如果您需要扩展,还有一些选项。
整个架构可能是多层次的,事实上它甚至对大公司也很有效。如果您有超过几千个端点,那么您应该为不同的客户端组建单独的收集器。您可以根据需要划分它们,例如AD站点,OU,安全组或实际位置。每个服务器可以同时充当收集器和转发器,因此您可以使用小型服务器在不同位置收集事件,并让收集的事件发送给更大的服务器。
最重要的是,每个客户端都可以与多个服务器通信。虽然它不是负载平衡,但您可以选择哪些事件去哪里。您可以将安全相关事件发送到一台服务器,该服务器将它们直接转发到SIEM,并将事件审核到另一台服务器以进行长期存储。
然而,WEF存在一些弊端。没有性能和运行状况监视,因此您必须实现自定义度量来帮助完成此操作。或者您可以购买类似Supercharger的内容,它提供了一些非常有用的见解以及负载平衡的基本形式。
汤姆