Splunk 通用轉送 Windows Server 2019
配置轉發器時,可以轉發多種日誌:
- 應用程式日誌
- 安全日誌
- 系統日誌
- 轉發的事件日誌
- 設定日誌
此外,還可以記錄效能監視器:
- CPU負載
- 記憶
- 磁碟空間
- 網路統計
此外,還可以啟用 Active Directory 監控。
雖然很容易選中所有複選框以便在故障排除期間提供最大數據,但我想知道對伺服器效能的影響。
這裡有什麼最佳實踐嗎?可以轉發所有內容嗎?或最好排除什麼?
答案1
這是這是個好問題,但無法回答以任何實際的方式在不了解您的用例的情況下
作為 @格雷格·阿斯丘評論說,沒有“最佳實踐”——這取決於你:
- 想要收集,並且
- 需要收集
對於一個組織,您可能需要知道每次使用本地印表機的時間以及由誰使用
另一個群組可能只關心非網域使用者何時登入
持續數十到數千次可能的互動
解釋您的用例,我們可以提供更好的幫助:)