已转发的事件数

为了更好地了解转发的事件是什么，了解如何配置和设置 Windows 事件转发 (WEF) 很有帮助。

Windows 事件转发基础知识

Windows 事件转发 (WEF) 是一个强大的日志转发解决方案，集成在现代版本的 Microsoft Windows中。在 Microsoft 文档页面上提供了 WEF 的详细文档。以下列表是 WEF 的摘要:

Windows 事件转发提供了通过推送或拉取机制将事件日志发送到一个或多个集中式 Windows Event Collector (WEC) 服务器的能力。
WEF 是无代理程序的，依赖于集成到操作系统中的本机组件。 Windows 的工作站和服务器构建都支持 WEF。
WEF 支持通过 Kerberos (在域中) 进行相互认证和加密，或者可以通过使用 TLS (其他认证或针对非域连接的机器) 进行扩展。
WEF 具有丰富的基于 XML 的语言，用于控制提交哪些事件标识，禁止嘈杂事件，一起批处理事件以及配置提交频率。预订 XML 支持 XPath的子集，这简化了编写表达式以选择您感兴趣的事件的过程。

三个因素限制了 WEC 服务器的可伸缩性。商品硬件上的稳定 WEC 服务器的一般规则为 “10k x 10k" ，这意味着每个 WEC 服务器同时处于活动状态的 WEF 客户机不超过 10,000 个，平均事件量不超过每秒 10,000 个事件。

磁盘 I/O

WEC 服务器不处理或验证接收到的事件，而是缓冲接收到的事件，然后将其记录到本地事件日志文件 (EVTX 文件) 中。记录到 EVTX 文件的速度受磁盘写入速度的限制。将 EVTX 文件隔离到自己的阵列或使用高速磁盘可以增加单个 WEC 服务器每秒可以接收的事件数。

网络连接

虽然 WEF 源不维护与 WEC 服务器的永久持久连接，但它不会在发送事件后立即断开连接。这意味着可以同时连接到 WEC 服务器的 WEF 源的数量仅限于 WEC 服务器上可用的开放 TCP 端口。

注册表大小

对于连接到 WEF 预订的每个唯一设备，将创建注册表键 (对应于 WEF 客户机的 FQDN) 以存储书签和源脉动信号信息。如果未修剪此信息以除去不活动的客户机，那么随着时间的推移，这组注册表键可能会增大到不可管理的大小。

当预订在其操作生存期 (生存期 WEF 源) 内有超过 1000 个 WEF 源与其连接时，事件查看器上的 "预订" 节点可能会在几分钟内变为无响应，但之后会正常运行。
在 50,000 个以上的生命周期 WEF 源中，事件查看器不再是一个选项，您必须使用 wecutil.exe (随 Windows 一起提供) 来配置和管理预订。
在超过 100,000 个生命周期 WEF 源的情况下，注册表不再可读，可能需要重建 WEC 服务器。

大型部署限制

对于大型部署，例如部署 40,000 至 100,000 台源计算机，建议部署多个收集器，每个收集器拥有 2,000 至不超过 4,000 个客户端。

此外，建议在收集器上安装至少 16GB 内存和四个处理器，以支持 2,000 至 4,000 个配置了一个或两个订阅的客户端的平均负载。建议使用快速磁盘，ForwardedEvents 日志可放在另一个磁盘上，以提高性能。

配置 Windows 事件转发后，可以配置 WinCollect 代理程序以收集 WEF 事件:

注意：

在 WEF 环境中，代理程序支持的最大 EPS 为 10,000 EPS。
虽然 WinCollect 代理程序在用户界面中仅显示单个源，但该源会侦听并处理可能为数百个事件预订的事件。代理程序列表中的一个源用于所有事件预订。代理程序可识别预订中的事件，处理内容，然后将 Syslog 事件发送到 QRadar®。
转发的事件在日志活动选项卡中显示为 Windows 认证 @ <hostname> 。