Splunk Universal Forwarded Windows Server 2019
Bei der Konfiguration des Forwarders können zahlreiche verschiedene Protokolle weitergeleitet werden:
- Anwendungsprotokolle
- Sicherheitsprotokoll
- Systemprotokoll
- Protokoll weitergeleiteter Ereignisse
- Setup-Protokoll
Darüber hinaus kann der Performance Monitor protokolliert werden:
- CPU-Auslastung
- Erinnerung
- Festplattenplatz
- Netzwerkstatistiken
Zusätzlich kann die Active Directory-Überwachung aktiviert werden.
Obwohl es verlockend ist, alle Kontrollkästchen zu aktivieren, damit bei der Fehlerbehebung ein Maximum an Daten verfügbar ist, frage ich mich, welche Auswirkungen dies auf die Serverleistung haben wird.
Gibt es hier eine Best Practice? Ist es ok, alles weiterzuleiten? Oder was lässt man am besten weg?
Antwort1
DasIsteine gute Frage, aber sie ist unbeantwortbarauf irgendeine praktische Weiseohne Ihre Anwendungsfälle zu kennen
Als @Greg Askewkommentierte, es gibt keine „Best Practice“ - es kommt darauf an, was Sie tun:
- sammeln möchten, und
- müssen sammeln
Für eine Organisation müssen Sie möglicherweise wissen, wann und von wem ein lokaler Drucker verwendet wird.
Eine andere Gruppe interessiert sich vielleicht nur dafür, wenn sich ein Nicht-Domänenbenutzer anmeldet
Und so weiter und so fort für Zehntausende möglicher Interaktionen
Erklären Sie Ihren/Ihre Anwendungsfall(e), dann können wir Ihnen besser helfen :)