作者kino818 (乞丐下大願panhandler)
看板MIS
標題[請益] windows server的event to syslog量暴增
時間Sat Aug 28 13:28:28 2021
我同事管理的線上ap server約20幾台win server 2012
為在四台esxi機器上的vm
我觀察20幾台ap總event to sylsog於8/11前約12Mbps
這些syslog都拋送至同一台log server
但8/11起到今天,變為約120Mbps或更高
我同事最近兩週也剛好在ap上啟動監控message queue的排程
把producer,message queue,consumer三級ap的監控排程都停掉
總流量還是120Mbps左右,推斷跟新排程無關
同事看了一下windows的事件檢視器,無果
說每一種log(如安全性log)都有儲存上限,log會rotate
我更不懂windows的event機制,但想了解與解決
猜測windows update後導致log爆量,但沒方向
也許事件檢視器可看出log爆量原因,但太弱看不出
請問各位大大如何分析與查測
感激不盡
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.140.75.72 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1630128510.A.E5E.html
1F:推 shuinedu: 我猜,土法練鋼,先把20幾台的syslog全關掉,再慢慢開 08/28 15:02
2F:→ kino818: 今天看事件檢視器查安全性log增長很快,我同事說趨勢防毒 08/30 14:21
3F:→ kino818: 最近有升版,又防毒存取的log每秒有約20個事件 08/30 14:22
4F:→ kino818: 將進一步跟防毒軟體管理單位了解為什麼安全性log爆炸成長 08/30 14:23
5F:→ kino818: 後來確定跟防毒沒太大關係,還不之AP主機為何8/11起爆增? 09/01 10:48
6F:→ kino818: 會分析事件檢視器了,但因沒有8/11前歷史資料可比對,無果 09/01 10:49
7F:→ kino818: 後來會看事件檢視器,進階稽核也會,調整設定,log少很多了 09/11 16:12