В настоящее время моя организация использует Splunk хранить журналы из разных мест (БД, Apache, системы, которые мы пишем и т. д.). На самом деле мы не используем большинство его возможностей (автоматическое извлечение журналов и т. Д.), Но нам нужен поиск, который он обеспечивает - отображение события и некоторых его окружений.
Недавно бесплатная версия Splunk начала доставлять нам неудобства, поэтому мы хотели бы заменить ее каким-нибудь другим инструментом, даже с меньшим количеством функций, если бы он мог индексировать и искать по большому количеству журналов.
Не могли бы вы предложить такие альтернативы?
РЕДАКТИРОВАТЬ: хотя приведенные предложения великолепны, ни одно из них не предлагает возможности поиска и индексирования, которые мне нужны. Вы можете предложить что-нибудь еще?
Syslog-ng - один из традиционных способов централизации журналов. это в более старой статье Linux.com объясняется, как это настроить. В статье нет точной индексации, но показано, как настроить проверку журналов, чтобы фильтровать журналы с помощью регулярного выражения и получать уведомления о нетривиальных событиях.
Раньше я включал централизованное ведение журнала через syslog-ng, но недавно на новом сайте я переключился на rsyslog. Вот хорошее сравнение:
Rsyslog как сборщик журналов (вы можете запускать практически любой системный журнал на каждом клиенте) и phplogcon как пользовательский интерфейс для просмотра данных журнала выполнит свою работу. Будьте осторожны, я обнаружил, что документации для rsyslog серьезно не хватает и временами это сильно разочаровывает. Я смог заставить его делать все, что я хотел, но мне потребовалось гораздо больше часов, чтобы заставить все работать, чем мне, чтобы получить бесплатную работу syslog-ng. Увидеть демонстрационный сайт phplogcon чтобы увидеть в действии интерфейс поиска и фильтрации.
В качестве системы журналов я рекомендую rsyslog, поскольку его функции и лицензия установлены по умолчанию в некоторых дистрибутивах Linux. Если вам нужен инструмент для поиска в этих журналах, вы можете посмотреть Octopusy ( http://www.8pussy.org/ )
Вы также можете получить больше отзывов по другому вопросу: Альтернативы Splunk? Альтернативы Splunk?