日志聚合解决方案

Question 1

我们使用 Splunk（免费版），发现它工作得很好。为了最好地回答您的问题，我需要知道您想要解析哪种日志。您可以指望能够解析 syslog 和许多其他类型的日志文件。但是，对于 Windows 事件日志，您仍然可以聚合，但您需要在 Windows 机器上安装 Splunk。不一定是缺点，但需要考虑。免费版可以让您从任意数量的来源收集数据，但您每天的数据量有限（我认为是 500MB/天）。我不知道企业版具体提供什么，但我记得它有无限量的数据可供索引，多个用户帐户，以及拥有多个服务器进行索引和搜索的能力。

我发现我们的免费版本存在一些缺点，包括保存的搜索和通知。使用它进行搜索非常强大，并且它会根据保存的搜索发出通知，但这是每次搜索的手动过程。它可以自动通过电子邮件发送结果，但这会显示日志的原始格式。为了获得更好的电子邮件通知，我不得不为每个保存的搜索创建脚本，以便以我想要的方式发送电子邮件。我确信我的使用方式可能与它的设计用途不同，但如果您有相同的用途，则需要注意这一点。

Answer

我们使用 Splunk（免费版），发现它工作得很好。为了最好地回答您的问题，我需要知道您想要解析哪种日志。您可以指望能够解析 syslog 和许多其他类型的日志文件。但是，对于 Windows 事件日志，您仍然可以聚合，但您需要在 Windows 机器上安装 Splunk。不一定是缺点，但需要考虑。免费版可以让您从任意数量的来源收集数据，但您每天的数据量有限（我认为是 500MB/天）。我不知道企业版具体提供什么，但我记得它有无限量的数据可供索引，多个用户帐户，以及拥有多个服务器进行索引和搜索的能力。

我发现我们的免费版本存在一些缺点，包括保存的搜索和通知。使用它进行搜索非常强大，并且它会根据保存的搜索发出通知，但这是每次搜索的手动过程。它可以自动通过电子邮件发送结果，但这会显示日志的原始格式。为了获得更好的电子邮件通知，我不得不为每个保存的搜索创建脚本，以便以我想要的方式发送电子邮件。我确信我的使用方式可能与它的设计用途不同，但如果您有相同的用途，则需要注意这一点。

Question 2

Splunk 非常棒。唯一的缺点是免费版可以解析的日志数量有限。如果您愿意为企业版付费，那么它可能是最好的解决方案。

Answer

Splunk 非常棒。唯一的缺点是免费版可以解析的日志数量有限。如果您愿意为企业版付费，那么它可能是最好的解决方案。

日志聚合解决方案

答案1

答案2

相关内容