[請益] windows server的event to syslog量暴增

看板MIS (IT資訊人員)作者 (乞丐下大願panhandler)時間3年前 (2021/08/28 13:28), 編輯推噓1(105)
留言6則, 2人參與, 3年前最新討論串1/1
我同事管理的線上ap server約20幾台win server 2012 為在四台esxi機器上的vm 我觀察20幾台ap總event to sylsog於8/11前約12Mbps 這些syslog都拋送至同一台log server 但8/11起到今天,變為約120Mbps或更高 我同事最近兩週也剛好在ap上啟動監控message queue的排程 把producer,message queue,consumer三級ap的監控排程都停掉 總流量還是120Mbps左右,推斷跟新排程無關 同事看了一下windows的事件檢視器,無果 說每一種log(如安全性log)都有儲存上限,log會rotate 我更不懂windows的event機制,但想了解與解決 猜測windows update後導致log爆量,但沒方向 也許事件檢視器可看出log爆量原因,但太弱看不出 請問各位大大如何分析與查測 感激不盡 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.140.75.72 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1630128510.A.E5E.html

08/28 15:02, 3年前 , 1F
我猜,土法練鋼,先把20幾台的syslog全關掉,再慢慢開
08/28 15:02, 1F

08/30 14:21, 3年前 , 2F
今天看事件檢視器查安全性log增長很快,我同事說趨勢防毒
08/30 14:21, 2F

08/30 14:22, 3年前 , 3F
最近有升版,又防毒存取的log每秒有約20個事件
08/30 14:22, 3F

08/30 14:23, 3年前 , 4F
將進一步跟防毒軟體管理單位了解為什麼安全性log爆炸成長
08/30 14:23, 4F

09/01 10:48, 3年前 , 5F
後來確定跟防毒沒太大關係,還不之AP主機為何8/11起爆增?
09/01 10:48, 5F

09/01 10:49, 3年前 , 6F
會分析事件檢視器了,但因沒有8/11前歷史資料可比對,無果
09/01 10:49, 6F
文章代碼(AID): #1XASb-vU (MIS)
文章代碼(AID): #1XASb-vU (MIS)