Wincollect ajanı ile iki şekilde Windows sunuculardan log toplayıp bunları QRadar konsoluna gönderebiliriz.
1. Local Collection
Wincollect ajanının kurulu olduğu sunucunun kendisinden direkt olarak logları toplayıp QRadar konsoluna gönderebiliriz.
- Wincollect ajanı arttıkça Wincollect yönetimi de zorlaşır.
- Single point of failure (SPOF) açısından avantajlıdır. Herhangi bir Wincollect servisini kaybetmeniz durumunda diğerleri bundan etkilenmez.
- Kritik ya da çok fazla EPS’e sahip log kaynaklarınız için tercih edilebilirsiniz.
- Örneğin DC’leriniz sizin için önemliyse DC’lerinizin her birine Wincollect ajanı kurarak Windows Security Event loglarını alabilirsiniz.