A kliensek Windows-os munkaállomások (kb. 2000 darab), amiknek én a naplóállományait gyűjteném a hálózati sávszél eléggé változó, belól még megvan a Gbit, de több telephelyról kb 30-50-es gépparknál max. a 100Mbit felém. Én talán amit ezekről naplóznék, az néhány mappa (TEMP, Windows teljes, vagy részbeni struktúrája, user saját mappája), illetve szokatlan tevékenységek, illetve felhasználói ki- és bejelentkezések.
A mostani SIEM naplózza a hálózati tevékenységet. Egy log gyűjtó szervert gondoltam annak a buffernak (Oracle Linux alapú syslog szerver), amit írtál. EDR-t próbáltam feléleszteni (de sajnos ESXi-m nincs, a fizikai Dell vason meg nem volt hajlandó felállni rendesen (pedig CentOS-re volt telepítve az image-ben, a support meg nem tudott segíteni, mert nem támogatott platformra akartam felvarázsolni).
Windows log gyűjtésre NXlog-ra gondoltam (vagy az Edoceo winlogd-je).