Возможный дубликат:
Альтернативы Splunk?
Мне нужно развернуть устройство или устройство централизованного управления журналами. Он должен иметь возможность обрабатывать как минимум 100 устройств, передающих ему ввод. Я также хотел бы, чтобы он мог отправлять мне предупреждения при обнаружении определенных вещей.
Я посмотрел на splunk, и бесплатный splunk вас не предупреждает. Есть другие идеи? Он может работать как в Windows, так и в Linux, неважно.
Еще одна возможность управления большими сетями устройств - это система мониторинга, хотя это и не совсем «управление журналами». Во многих случаях сейчас полезно знать, только если устройство сообщает об «ошибке» или «нормально» со службой, но также, если эта служба (и машина, на которой она работает) полностью недоступны. Системы вроде Nagios и Зеносс (http://www.zenoss.com/) (оба имеют выпуски с открытым исходным кодом и корпоративные версии) будут предупреждать вас о проблемах, а также могут анализировать журналы, чтобы сообщать о проблемах таким же образом.
Вы можете попробовать syslog-ng store box.
http://www.balabit.com/network-security/syslog-ng/log-server-appliance/
Вы также можете просто сделать это с помощью syslog-ng afcourse, но это уже готовое устройство.
Попробуйте LogZilla (http://www.logzilla.pro), моя компания пользуется им уже год, и мне это нравится. У него есть встроенная функция оповещения.
Попробуйте CorreLog. Вот ссылка на 30-дневную ознакомительную версию. http://www.correlog.com/purchase/free-trial-download-form.html
Корреляция событий безопасности, консолидация логов, любая платформа. Проверь их.
Мне понравилось использовать Epylog:
http://packages.debian.org/sid/epylog
Вы можете написать регулярное выражение, чтобы поймать то, что вы хотите, а затем действовать в соответствии с этим. Просто выполните централизованный системный журнал данных и запустите epylog по расписанию.