Решения для агрегирования журналов

Мы используем Splunk (бесплатная версия) и обнаружили, что он работает очень хорошо. Чтобы лучше всего ответить на ваш вопрос, мне нужно знать, какие журналы вы хотите анализировать. Вы можете рассчитывать на возможность анализа системного журнала и многих других типов файлов журналов. Однако для журналов событий Windows вы все равно можете агрегировать, но вам необходимо установить Splunk на компьютере с Windows. Не обязательно отрицательный, но следует учесть. Бесплатная версия позволит вам собирать данные из любого количества источников, но вы ограничены объемом данных в день (я думаю, это 500 МБ / день). Я не знаю точно, что предлагает корпоративная версия, но я помню, что у нее был неограниченный объем данных для индексации, несколько учетных записей пользователей и возможность иметь несколько серверов для индексации и поиска.

Некоторые из недостатков, которые я видел в нашей бесплатной версии, связаны с сохраненными поисковыми запросами и уведомлениями. Использование его для поиска очень мощное средство, и оно отправляет уведомления на основе сохраненных результатов поиска, но это ручной процесс для каждого поиска. Он может автоматически отправлять результаты по электронной почте, но при этом отображается необработанный формат журнала. Чтобы получать более удобные уведомления по электронной почте, мне пришлось создать сценарии для каждого сохраненного поиска, чтобы отправлять электронную почту так, как я хотел бы. Я уверен, что, вероятно, использую его не так, как он был разработан для использования, но это то, чего нужно остерегаться, если вы имеете в виду то же самое.

Splunk фантастический. Единственным недостатком является то, что вы ограничены количеством журналов, которые вы можете анализировать с помощью бесплатной версии. Если вы готовы платить за Enterprise, это, вероятно, лучшее решение.