В настоящее время я изучаю возможность объединения журналов с нескольких серверов с помощью logstash (или graylog2).
Меня все еще немного смущает разница между logstash и graylog. До сих пор я оценил простоту использования logstash, но мне было бы интересно услышать опыт других людей.
Более того, похоже, что logstash может получать журналы событий Windows. Есть ли стимул использовать вместо этого nxLog или snare? Многие люди сообщают об использовании nxlog для пересылки событий в удаленный экземпляр logstash. Это рекомендуемый способ?
В настоящее время мы хотели бы объединить несколько блоков:
Заранее благодарим за любые отзывы.
Logstash и Graylog - очень похожие программы. Оба они предназначены для передачи данных журналов по сети и их хранения в ElasticSearch, где они могут быть позже получены веб-интерфейсом. Graylog2 разработан с учетом разумных готовых настроек по умолчанию для большинства людей, в то время как Logstash разработан с учетом высокой степени программирования, а последняя дополнительная версия (1.2) включает в себя достаточно функциональный язык конфигурации с полной поддержкой условных выражений, например, nxlog. на стороне клиента.
Что касается веб-интерфейсов, Logstash обычно использует Kibana, а Graylog2 поставляется со своим собственным веб-интерфейсом. Я рекомендую попробовать оба варианта и посмотреть, что вам больше нравится. Graylog2 требует меньше усилий, но Kibana абсурдно мощнее с точки зрения того, что вы можете делать с настраиваемыми панелями отчетов.
Вход журнала событий предназначен для запуска локально из агента Logstash, установленного на хосте Windows, на котором вы хотите собирать журналы. Поскольку агент Logstash написан на Java, а JVM может занимать огромный объем памяти, вы, вероятно, не захотите, чтобы он зависал, если в ваших системах не плавает куча памяти. nxlog намного компактнее и отлично справляется с извлечением данных журнала событий Windows и отправкой их в Logstash с помощью JSON или GELF. Его синтаксис конфигурации также намного надежнее и полнофункциональный, чем у Logstash, поэтому вам может быть проще выполнять сложные операции с журналами событий, прежде чем пересылать их, например, фильтровать зашумленные журналы, прежде чем они когда-либо попадут на сервер.
В Logstash есть фильтр CSV, поэтому лучше всего просто отправить необработанные данные журнала на сервер Logstash через сокет TCP или UDP и позволить ему вычислить данные. В nxlog может быть что-то подобное, но я никогда не искал этого.