Bästa praxis för att konfigurera Vidarebefordran av EventLog i Windows Server 2012 R2

I den här artikeln beskrivs bästa praxis för att konfigurera vidarebefordran av EventLog i en stor miljö i Windows Server 2012 R2.

Ursprungligt KB-nummer: 4494356

Sammanfattning

Det finns viktiga skalbarhetskorrigeringar som har distribuerats till Windows Server 2016, Windows Server 2019 i kumulativa uppdateringar den 25 februari 2020.

Se "Förbättrar skalbarheten för vidarebefordran av händelser för att säkerställa trådsäkerhet och öka resurser." punkt i följande två artiklar:

• 25 februari 2020-KB4537806 (OS Build 14393.3542)

• 25 februari 2020-KB4537818 (OS Build 17763.1075)

Svarstid för händelser

Så snart händelser genereras på klienten tar det lite tid att vidarebefordra dem till insamlaren.

Den här fördröjningen kan orsakas av prenumerationskonfigurationen, till exempel parametern DeliveryMaxLatency , insamlarens, vidarebefordrarens eller nätverkets prestanda.

Kommentar

Kontrollera att händelserna inte skrivs över på klienten innan de vidarebefordras. Vi behöver vanligtvis bara hantera det här problemet när klienterna genererar en stor mängd händelser, till exempel en upptagen server eller domänkontrollanten som vidarebefordrar säkerhetsloggen.

Begränsning och systemkrav

Du distribuerar EventLog Forwarding i en stor miljö. Du kan till exempel distribuera 40 000 till 100 000 källdatorer. I det här fallet rekommenderar vi att du distribuerar fler än en insamlare som har 2 000 till högst 4 000 klienter per insamlare.

Dessutom rekommenderar vi att du installerar minst 16 GB RAM-minne och fyra (4) processorer på insamlaren för att stödja en genomsnittlig belastning på 2 000 till 4 000 klienter som har en eller två prenumerationer konfigurerade.

Snabba diskar rekommenderas och loggen ForwardedEvents kan placeras på en annan disk för bättre prestanda.

Minnesanvändningen för Windows Event Collector-tjänsten beror på antalet anslutningar som tas emot av klienten. Antalet anslutningar beror på följande faktorer:

• Frekvensen för anslutningarna
• Antalet prenumerationer
• Antalet klienter
• Klienternas operativsystem

För standardvärdena för 4 000 klienter och fem till sju prenumerationer kan det minne som används av Windows Event Collector-tjänsten snabbt överstiga 4 GB och fortsätta att växa. Detta kan göra att datorn inte svarar.

Frekvens för klientanslutningarna

Tre parametrar styr frekvensen för klientanslutningarna:

• Refresh= (anges i konfigurations-URL:en för grupprincipobjektet)
• DeliveryMaxLatency (anges i prenumerationen)
• HeartbeatInterval (anges i prenumerationen)

Parametern Refresh= i grupprincipobjektet

Den här parametern mäts i sekunder. Den styr hur ofta klienten ansluter till /WEC-URL :en för att räkna upp tillgängliga prenumerationer.

Insamlaren svarar genom att ange en lista över de prenumerationer som är aktiverade för klienten. Svaret innehåller bokmärkena för varje kanal och Xpath-frågan. Så snart klienten tar emot informationen börjar den skicka händelserna eller pulsslagspaketen till URL:en /Subscriptions. Om prenumerationerna inte ändras ofta kan den här parametern konfigureras för att kontrollera med några timmars mellanrum eller ännu mindre ofta.

DeliveryMaxLatency

Styr frekvensen för klientanslutningarna. För en stor distribution kan du skapa en prenumeration för brådskande händelser som är inställda på en 5-minutersfrekvens och en annan för mindre brådskande händelser som är inställda på en 2-timmarsfrekvens.

HeartbeatInterval

Styr den inaktiva statusen i körningsstatusfönstret i konsolen. Kan anges till samma värde som DeliveryMaxLatency eller ett större värde för att ge klienter ytterligare tid innan de markeras som Inaktiva.

Anpassade parametrar

Om du vill konfigurera anpassade parametrar måste du använda kommandoraden för att köra Wecutil. Mer information finns i Wecutil.exe.

• Du kan lista den konfigurerade prenumerationen som wecutil es.

• Du måste först byta prenumerationen till "Anpassad":

  wecutil ss <SubscriptionName> /cm:"Custom"
  

• Ange sedan parametern DeliveryMaxLatency:

  wecutil ss <SubscriptionName> /dmlt:7200000
  

  (Värdet är i millisekunder: 7200000 = 2 timmar)

• Justera HeartbeatInterval till samma värde. Den här inställningen påverkar statusen "Inaktiv" för varje klient i konsolen:

  wecutil ss <SubscriptionName> /hi:7200000
  

Optimering av prenumerationsleverans

Klienterna skickar händelserna till URL:en /subscriptions. Dessa anslutningar är mycket viktiga för minnesanvändning för insamlare.

Följande förkonfigurerade lägen är tillgängliga.

• Normal

  • Ger tillförlitlig leverans av händelser och försöker inte spara bandbredd.
  • Lämpligt val om du inte behöver striktare kontroll över bandbreddsanvändningen eller om du kräver att vidarebefordrade händelser levereras så snabbt som möjligt.
  • Använder pull-leveransläge, batchar fem objekt åt gången och anger en batchtid på 15 minuter.

• Minimera bandbredd

  • Se till att användningen av nätverksbandbredd för händelseleverans är strikt kontrollerad.
  • Lämpligt val om du vill begränsa frekvensen för nätverksanslutningar för att leverera händelser.
  • Använder push-leveransläge och anger en batchtid på 6 timmar och ett pulsslagsintervall på 6 timmar.

• Minimera svarstiden

  • Se till att händelser levereras med minimal fördröjning.
  • Lämpligt val om du samlar in aviseringar eller kritiska händelser.
  • Använder push-leveransläge och anger en batchtid på 30 sekunder.

Klienten ansluter till insamlaren med den angivna frekvensen för att antingen skicka händelserna eller skicka ett pulsslag. Standardinställningarna "Normal" kan orsaka hög minnesanvändning genom att ha 2 000 till 4 000 klienter per insamlare.

Konfigurera insamlarens namn

Du kan konfigurera insamlarens namn på klienten genom att konfigurera följande grupprincip-objekt (GPO):
Datorkonfiguration/Administratörsmallar/Windows-komponenter/Händelsevidarebefordring/Konfigurera målprenumerationshanteraren

Du kan också göra registerinställningar i följande undernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager

Grupprincipobjekt som tilldelar insamlaren till varje klient kan filtreras med hjälp av antingen säkerhetsinställningen för själva grupprincipobjektet eller ett WMI-filter. Om datornamnet till exempel alltid slutar med ett tal (till exempel dator1, dator2 och så vidare) kan vi skapa grupprincipobjekt för att peka klienterna till 10 olika insamlare.

Konsolidering av prenumerationerna

Om du konfigurerar flera prenumerationer ökar antalet anslutningar. De överväganden som beskrivs tidigare i den här artikeln gäller för varje prenumeration.

Vi rekommenderar att du konfigurerar prenumerationen genom att redigera Xpath-frågan och placera flera frågor i samma prenumeration.