作者kino818 (乞丐下大愿panhandler)
看板MIS
标题[请益] windows server的event to syslog量暴增
时间Sat Aug 28 13:28:28 2021
我同事管理的线上ap server约20几台win server 2012
为在四台esxi机器上的vm
我观察20几台ap总event to sylsog於8/11前约12Mbps
这些syslog都抛送至同一台log server
但8/11起到今天,变为约120Mbps或更高
我同事最近两周也刚好在ap上启动监控message queue的排程
把producer,message queue,consumer三级ap的监控排程都停掉
总流量还是120Mbps左右,推断跟新排程无关
同事看了一下windows的事件检视器,无果
说每一种log(如安全性log)都有储存上限,log会rotate
我更不懂windows的event机制,但想了解与解决
猜测windows update後导致log爆量,但没方向
也许事件检视器可看出log爆量原因,但太弱看不出
请问各位大大如何分析与查测
感激不尽
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.140.75.72 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1630128510.A.E5E.html
1F:推 shuinedu: 我猜,土法练钢,先把20几台的syslog全关掉,再慢慢开 08/28 15:02
2F:→ kino818: 今天看事件检视器查安全性log增长很快,我同事说趋势防毒 08/30 14:21
3F:→ kino818: 最近有升版,又防毒存取的log每秒有约20个事件 08/30 14:22
4F:→ kino818: 将进一步跟防毒软体管理单位了解为什麽安全性log爆炸成长 08/30 14:23
5F:→ kino818: 後来确定跟防毒没太大关系,还不之AP主机为何8/11起爆增? 09/01 10:48
6F:→ kino818: 会分析事件检视器了,但因没有8/11前历史资料可比对,无果 09/01 10:49
7F:→ kino818: 後来会看事件检视器,进阶稽核也会,调整设定,log少很多了 09/11 16:12