есть ли приложение для корреляции журналов с открытым исходным кодом? Знаю только SEC [1]. Лучше всего, если бы приложение могло работать в кластерной настройке и понимать даже структурированные журналы, а не только журналы с произвольным текстом (например, журналы из syslog).
Хотя SEC (на самом деле Perl) довольно мощный, я также обнаружил эти ограничения, что он может работать только с журналами с произвольным текстом, а для корреляции на основе времени он не использует фактическое время события, а только время, когда SEC его получил. .
Есть корреляция в nxlog (отказ от ответственности: я являюсь аффилированным лицом) с поддержкой структурированных журналов. Syslog-ng также может выполнять некоторую корреляцию.