Forwarder VS Heavy Forwarder.

Una duda típica a la hora de recoger/enviar eventos a los indexadores, es que tipo de forwarder usar.
Como norma general lo ideal es usar siempre Universal Forwarder (UF),  este es un agente muy ligero, que apenas consume recursos del host donde se instala, incluso existe una versión para Raspberry Pi, aquí.
Existe otro tipo, llamado Heavy Forwarder (HF), este es mas pesado, pero dispone de funcionalidades adicionales, como:

  • Posibilidad de filtrar/descartar eventos
  • Posibilidad de conectarte a varias DB a través de la App DB Connect
  • Realizar enrutado de información compleja.
Esto son grandes ventajas, pero a cambio, el envío de información es mas pesado, y puede sobrecargar la red, ya que el HF parsea los eventos, y esto hace que incrementen su tamaño.

Por esto, siempre es recomendable usar UF, salvo que no que nos encontremos en alguno de los tres casos anteriores.

Aquí is dejo un enlace del blog de Splunk donde lo explican en detalle, Universal or Heavy, that is the question?

Comentarios

Publicar un comentario

Entradas populares de este blog

REGISTRAR UNA DLL EN SISTEMAS 64 BITS

¿QUE ES ALTIRIS CLIENT MANAGEMENT SUITE?

Arquitecturas Splunk: Capitulo 1 - Introduccion