6
так и запишем - сегмент с агентами сиема 10.100.208.*...
Size: a a a
2020 August 10
v
плюс минус километр)
6
так. Итого имеем:
1) от сборщика события идут в очередь
2) очереди на core и srv не нагружены
3) проблема только с wineventlog забиремый с wec, где не особо большая нагрузка
1) от сборщика события идут в очередь
2) очереди на core и srv не нагружены
3) проблема только с wineventlog забиремый с wec, где не особо большая нагрузка
6
в логах агента (который главный там процесс) случаем ничего странного нет?
6
/me не знай что происходит, вот и перебирает все варианты котрые видел
v
в логах агента (который главный там процесс) случаем ничего странного нет?
неа(
v
дам постоять, может всё-таки очень туго парсит
v
а я тут кипишую и страдаю херней часа четыре
v
было бы очень обидно)
RS
Так какая версия сиема и поток на WEC?
v
22.3201, поток сегодня меняли, увеличивали, именно из-за этого и увидели косяки, до этого вроде бы не было
v
по нагрузке на wec сейчас
v
v
и судя по графикам, я начинаю подозревать, что реально прогружается но супер долго
v
это событий в минуту
v
шкала
v
Вот эти большие всполохи квадратиков - как раз те два агента, которые проблемные
RS
22.3201, поток сегодня меняли, увеличивали, именно из-за этого и увидели косяки, до этого вроде бы не было
Лучше всего было бы обновиться до 23 последней сборки
Ввиду того, что это может оказаться сложным, попробуйте взять агент из последней публичной сборки 22. Их после 3201 было ещё две. Мы этим летом довольно много занимались проблемами сбора с нагруженных WEC. Многое вошло и в r22.
Если не поможет, заводите тикет. Возможно, и для r22 получите что-то.
Ввиду того, что это может оказаться сложным, попробуйте взять агент из последней публичной сборки 22. Их после 3201 было ещё две. Мы этим летом довольно много занимались проблемами сбора с нагруженных WEC. Многое вошло и в r22.
Если не поможет, заводите тикет. Возможно, и для r22 получите что-то.
RS
И есть ещё один способ. Надо установить агент на машине с WEC-ом. Чтение из локальных журналов драматически быстрее.
Но тут могут быть организационные сложности
Но тут могут быть организационные сложности
v
И есть ещё один способ. Надо установить агент на машине с WEC-ом. Чтение из локальных журналов драматически быстрее.
Но тут могут быть организационные сложности
Но тут могут быть организационные сложности
именно так все WEC у нас в инсталляции и заведены