Собственное событие окна, передающее непосредственно syslog\sql серверу

Производительность такого дизайна не будет хорошо масштабироваться. Однако он может работать в малых / средних средах.

Сборщик событий Windows предназначен именно для этого - масштабирования на массовом уровне. Один сервер-сборщик может собирать данные с сотен или тысяч компьютеров по 10 или даже 100 ГБ в день.

На сопоставимом оборудовании, подход подписки по запросу на SQL-сервере не может приблизиться к производительности сборщика событий Windows. И подход с принудительной подпиской на SQL-сервере - даже с минимальными индексами будет сглаживаться, как хитрый койот, задолго до достижения чего-либо, что может сделать сборщик событий Windows.

И вы не захотите конкурировать со вставками, поэтому в больших средах , может потребоваться база данных отчетов для запросов, особенно если у вас много связанных таблиц или ковровая бомбардировка их индексами. Таким образом, при масштабировании решение не сможет конкурировать ни по производительности, ни по стоимости.

Существует значительное несоответствие импеданса в производительности между сборщиком событий и сервером SQL. Вот почему Event Collector так хорошо подходит в качестве посредника трансформации. Приложения / сценарии преобразования, которые читают журнал переадресованных событий, недороги и просты в создании, поэтому их устранение не имеет коммерческого обоснования (зеленого цвета). SQL-серверу потребуется только одна база данных - нет необходимости в базе данных отчетов, и он может иметь небольшую емкость, потому что преобразование может выполняться большими пакетами с минимальным влиянием на сервер базы данных.

You could do that with syslog-ng, which has client software for Windows machines.

A syslog-ng server can store its logs in a database, both relational and non-relational.