Splunk Universal Forwarded Windows Server 2019
При настройке пересылки можно пересылать самые разные журналы:
- Журналы приложений
- Журнал безопасности
- Системный журнал
- Журнал пересылаемых событий
- Журнал настройки
Кроме того, Performance Monitor может регистрировать:
- Загрузка ЦП
- Память
- Дисковое пространство
- Статистика сети
Кроме того, можно включить мониторинг Active Directory.
Хотя возникает соблазн установить все флажки, чтобы обеспечить доступность максимального объема данных во время устранения неполадок, меня интересует влияние этого на производительность сервера.
Есть ли здесь какая-то лучшая практика? Можно ли пересылать все? Или что-то лучше оставить?
решение1
Этотявляетсяхороший вопрос, но на него нет ответалюбым практическим способомне зная ваших вариантов использования
Как @Грег Эскьюпрокомментировал, нет «лучшей практики» — это то, что вы:
- хотите собрать, и
- нужно собрать
Для одной организации вам может потребоваться знать каждый раз, когда и кем используется локальный принтер.
Другая группа может беспокоиться только о том, когда в систему входит пользователь, не являющийся пользователем домена.
И так далее, десятки из тысяч возможных взаимодействий.
Опишите ваш вариант(ы) использования, и мы сможем помочь вам лучше :)