有没有开源日志关联应用程序?我只知道 SEC[1]。最好的是,如果应用程序可以在集群设置中工作,并且能够理解结构化日志,而不仅仅是自由文本日志(例如来自 syslog 的日志)。
答案1
虽然 SEC(实际上是 perl)非常强大,但我也发现了这些限制:它只能对自由文本日志进行操作,并且对于基于时间的关联,它不使用事件的实际时间,而只使用 SEC 收到事件的时间。
存在相关性日志(免责声明:我是附属机构)支持结构化日志。 Syslog-ng 也可以进行一些关联。
开源日志关联应用程序——SEC 的替代品?