我目前正在研究使用 logstash(或 graylog2)合并来自多个服务器的日志的可能性。
我仍然对 logstash 和 graylog 的区别感到困惑。到目前为止,我很欣赏 logstash 的易用性,但我有兴趣听听其他人的经验。
此外,logstash 似乎可以获取 Windows 事件日志。是否有任何动机改用 nxLog 或 snare?许多人报告使用 nxlog 将事件转发到远程 logstash 实例。这是推荐的方式吗?
目前,我们想从多个框中进行合并:
- Windows 事件日志
- 第三方 csv 文件
提前感谢任何反馈。
答案1
Logstash 和 Graylog 是非常相似的软件。它们都旨在通过网络获取日志数据并将其存储在 ElasticSearch 中,稍后可以通过 Web 界面获取。Graylog2 旨在为大多数人提供合理的开箱即用默认值,而 Logstash 则旨在实现高度可编程,最新的次要版本 (1.2) 包含功能相当丰富的配置语言,完全支持条件语句,就像 nxlog 在客户端上所做的那样。
在 Web 界面方面,Logstash 通常使用 Kibana,而 Graylog2 则自带 Web 界面。我的建议是尝试两者,看看您更喜欢哪一个。Graylog2 需要的调整较少,但 Kibana 在自定义报告仪表板方面功能强大得多。
eventlog 输入旨在从安装在您想要收集日志的 Windows 主机上的 Logstash 代理本地运行。由于 Logstash 代理是用 Java 编写的,而 JVM 会占用大量内存,因此除非您的系统上有一堆内存,否则您可能不希望它挂起。nxlog 更精简,可以很好地提取 Windows 事件日志数据并使用 JSON 或 GELF 将其转发到 Logstash。它的配置语法也比 Logstash 更强大、功能更全面,因此您可能会发现在转发事件日志之前对其进行复杂操作更容易,例如在日志到达服务器之前过滤掉嘈杂的日志。
Logstash 有一个 CSV 过滤器,所以最好的办法是通过 TCP 或 UDP 套接字将原始日志数据提交到 Logstash 服务器,然后让它找出数据。nxlog 可能具有类似功能,但我从未寻找过它。