У меня есть несколько серверов Windows, на которых запущено несколько экземпляров программного обеспечения, создающего файлы журналов. Речь идет о 5-10 МБ в час на сервер.
Я хочу собирать эти журналы на центральном сервере (почти в реальном времени) и представлять их другим пользователям через веб-интерфейс после аутентификации.
Я посмотрел на Splunk, но это кажется излишним, а также платным для нескольких учетных записей пользователей.
Поэтому мне понадобится механизм синхронизации (желательно работающий как клиент на всех серверах), который отправляет изменения журнала на центральный сервер, который собирает эти журналы и делает их доступными через веб-интерфейс.
В своей среде я только что настроил Graylog2 как точка агрегирования / интерфейс браузера, и nxlog в качестве агента пересылки для чтения из файлов журналов и журнала системных событий и пересылки их в формате GELF на сервер Graylog2. nxlog может быть немного привередливым, но в целом работает довольно хорошо. Он также доступен для Linux. Graylog2 выполняет некоторые изящные вещи, такие как индексация журналов в потоках на основе настраиваемых критериев поиска и предоставление базовых предупреждений об определенных типах сообщений журнала.
Вы также можете рассмотреть logstash. Если вы пойдете по этому маршруту, Кибана - это гораздо лучший веб-интерфейс, чем тот, с которым поставляется Logstash.
Это почти вопрос о покупках, поэтому я буду держать ответ расплывчатым
syslog-ng имеет множество веб-интерфейсов - вам нужно будет оценить, какой из них лучше всего соответствует вашим потребностям.