大规模日志传输和聚合

您如何分析 UNIX/Linux 机器的日志文件？我们运行数百台服务器，它们都直接或通过 syslog 生成自己的日志文件。我正在寻找一个不错的解决方案来汇总这些文件并挑选出重要的事件。这个问题分为 3 个部分：

1）消息传输

经典方法是使用 syslog 将消息记录到远程主机。这对于登录 syslog 的应用程序来说很好，但对于写入本地文件的应用程序来说用处不大。解决方案可能包括让应用程序登录到连接到程序的 FIFO 中，以使用 syslog 发送消息，或者编写一些可以 grep 本地文件并将输出发送到中央 syslog 主机的东西。但是，如果我们不辞辛劳编写工具将消息写入 syslog，我们是否最好用类似 Facebook 的东西来替换所有东西隶哪个比 syslog 提供更多的灵活性和可靠性？

2）消息聚合

日志条目似乎分为两种类型：按主机和按服务。按主机的消息是那些发生在一台机器上的消息；比如磁盘故障或可疑登录。按服务的消息发生在运行服务的大多数或所有主机上。例如，我们想知道 Apache 何时发现 SSI 错误，但我们不希望 100 台机器出现相同的错误。在所有情况下，我们只希望看到每种类型的消息中的一条：我们不希望有 10 条消息说同一个磁盘发生故障，也不希望每次遇到损坏的 SSI 时都出现一条消息。

解决这个问题的一种方法是将每个主机上的多条相同类型的消息聚合成一条，将消息发送到中央服务器，然后将相同类型的消息聚合成一个整体事件。服务质量可以做到这一点，但使用起来很尴尬。即使经过几天的折腾，我也只能实现基本的聚合，并且必须不断查找 SER 用于关联事件的逻辑。它功能强大但很棘手：我需要同事可以在最短的时间内掌握和使用的东西。SER 规则不符合这一要求。

3）生成警报

当一些有趣的事情发生时，我们如何通知管理员？发送邮件到群组收件箱？注入 Nagios？

那么，您打算如何解决这个问题？我不指望马上得到答案；我可以自己解决细节问题，但就这个肯定是常见问题进行一些高层讨论会很棒。目前，我们正在使用 cron 作业、系统日志和其他不知道什么来查找事件的混合体。这不可扩展、不可维护或灵活，因此我们错过了很多我们不应该错过的东西。

更新：我们已经在使用 Nagios 进行监控，它非常适合检测宕机主机/测试服务/等等，但对于抓取日志文件用处不大。我知道 Nagios 有日志插件，但我对比每个主机警报更具可扩展性和层次性的东西感兴趣。