Мы используем установку образцов для сортировки сетевого системного журнала объемом 3-5 гигабайт и оповещения о шаблонах, мы используем splunk для индексации и поиска данных, но возможности оповещения splunk серьезно отсутствуют.
Мне интересно, что люди используют для аналогичных требований к оповещениям.
Я использовал логсерфер для оповещения о шаблонах с очень хорошим успехом.
Он написан на C и очень быстро просматривает журналы. Это небольшой Введение в logsurfer
Вы также можете попробовать LogZilla out, он масштабируется до сотен миллионов событий и будет выполнять оповещения по электронной почте и пересылку ловушек snmp на основе совпадений с шаблоном регулярного выражения.