目前我的组织正在使用Splunk存储来自不同位置(数据库、Apache、我们编写的系统等)的日志。我们实际上并不使用它的大部分功能(自动提取日志等),但我们确实需要它提供的搜索功能 - 显示事件及其周围环境。
最近,Splunk 的免费版本开始给我们带来困难,所以我们想用其他工具来替换它,即使功能较少,只要它可以索引和搜索大量日志。
您能提供这样的替代方案吗?
编辑:虽然给出的建议很棒,但没有一个提供我需要的搜索和索引功能。你能提供其他建议吗?
答案1
Syslog-ng 是集中日志的传统方法之一。 这较早的 Linux.com 文章解释了如何进行设置。本文并未具体介绍索引,但向您展示了如何设置日志检查以使用正则表达式过滤日志并接收重要事件的通知。
答案2
过去,我通过 syslog-ng 启用了集中日志记录,但最近,在一个新站点,我已切换到 rsyslog。以下是很好的比较:
答案3
Rsyslog作为日志收集器(你可以在每个客户端上运行几乎任何系统日志)和phplogcon作为查看日志数据的 UI 就可以完成这项工作。请注意,我发现 rsyslog 的文档严重缺乏,有时非常令人沮丧。我能够让它做我想要的一切,但我花了比让 syslog-ng free 工作更多的时间来让它工作。请参阅phplogcon 演示站点查看搜索和过滤界面的实际运行。
答案4
作为日志系统,我推荐 rsyslog,因为它的功能和许可证已成为某些 Linux 发行版的默认设置。如果您想要一个工具来搜索这些日志,您可以看看 Octopusy (http://www.8pussy.org/)
您还可以就另一个问题获得更多反馈:Splunk 的替代品?Splunk 的替代品?