Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

用于远程事件收集的批量日志源

批量日志源专为具有多个日志源且具有相同协议配置的系统而设计。

  1. 在每台 JSA 设备上创建用于 Windows 事件收集的 Windows 事件的目标。请参阅 添加目标

    注意:

    提供包含 IP 地址的目标名称会很有帮助,例如“Agent1_1.2.3.4”。如果需要编辑日志源并更改目标,则可以确定目标的 IP 地址。此外,将限制值设置为 5000 EPS,即 WinCollect 代理的最大 EPS 速率。

  2. 创建批量日志源。请参阅 批量添加日志源以实现远程收集

  3. 等待将配置推送到远程代理。

  4. 日志活动 选项卡中验证是否接收了事件。

批量添加日志源以用于远程收集

您可以一次批量向 JSA 添加多个日志源。日志源必须共享一个通用配置协议,并与同一 WinCollect 代理相关联。

您可以上传包含 IP 地址或主机名称列表的文本文件,对控制器运行查询以获取主机列表,或者一次输入一个 IP 地址或主机名称来手动输入这些地址或主机名称列表。

根据您一次添加的 WinCollect 日志源的数量, WinCollect 代理可能需要一定的时间才能访问日志源列表并收集所有 Windows 事件。

确保您创建了目标,以便 WinCollect 代理可以将 Windows 事件发送到 JSA 设备。请确保为每个 JSA 事件收集器 16xx 或 18xx 设备创建一个目标。

使用 WinCollect 事件日志报告工具规划您的批量收集策略。

对于每个托管 的 WinCollect 代理,您最多可以有 500 个日志源。对于本地收集,您还必须保持 5,000 EPS 以下,在 WinCollect 代理上保持 2,500 EPS 以下。您可以查看 Windows 系统上的事件查看器,以确定每小时生成多少 EPS。将此值除以 3600 秒,即可获得 EPS 速率。此计算可帮助您规划需要安装多少个代理。或者,查看 24 小时内的事件,了解每台 Windows 服务器的繁忙程度。这有助于确定如何调整代理并避免仅在按小时查看时看到的最低和最大 EPS 速率。

  1. “管理员 ”选项卡导航菜单上,单击 “数据源”,然后单击 WinCollect 图标。

  2. 选择要为其分配日志源的 WinCollect 代理,然后单击日志

  3. 单击批量 操作>Bulk Add

  4. 提供批量日志源的名称。为方便查找,请指定名称为进行远程收集的 WinCollect 代理。

  5. “日志源类型”列表 框中,选择 Microsoft Windows 安全事件日志

  6. “协议配置”列表 框中,选择 WinCollect

  7. 使用 WinCollect 事件日志报告工具指定的调整值来适当调整日志源。

  8. 选中所有 标准日志类型 复选框。 WinCollect 代理将这些远程日志读取并转发到 JSA

    注意:

    不要选中“ 转发事件 ”复选框。转发事件是一个特殊的用例。选择此选项无法正确添加多个日志源。

  9. 选中所有 事件类型 复选框。

  10. 选中 “启用 Active Directory 查找 ”复选框。此选项用于识别 Windows 事件中显示为十六进制的用户名,并将其解析为人类可读的用户名。

  11. WinCollect 代理 列表中选择管理日志源的 Windows 主机。

  12. “目标内部目标 ”列表中选择接收和处理 Windows 事件的 JSA 设备。

  13. 为要远程轮询事件的 Windows 操作系统添加 IP 地址。

    您可以上传包含 IP 地址或主机名称列表的文本文件,对控制器运行查询以获取主机列表,或者一次输入一个 IP 地址或主机名称来手动输入这些地址或主机名称列表。

    根据您一次添加的 WinCollect 日志源的数量, WinCollect 代理可能需要一定的时间才能访问日志源列表并收集所有 Windows 事件。

  14. 单击 “保存 ”,然后单击“ 继续”。

等待将配置推送到远程代理。在 日志活动 选项卡中验证已接收事件。

相关文档