我目前正在调查使用logstash(或graylog2)整合来自多个服务器的日志的可能性。
对于logstash和graylog的区别我还是有点困惑。 到目前为止,我很欣赏logstash的使用方便,但是我希望能够听到其他人的经验。
另外,看来logstash可以获取Windows事件日志。 是否有动力使用nxLog或圈套呢? 许多人报告使用nxlog将事件转发到远处的logstash实例。 这是推荐的方式吗?
目前我们想从多个方块合并:
预先感谢任何反馈。
Logstash和Graylog是非常相似的软件。 它们都被devise为通过networking获取日志数据,并将其存储在ElasticSearch中,稍后可以通过Web界面进行拾取。 Graylog2旨在为大多数人提供明智的开箱即用的默认设置,而Logstash被devise为高度可编程的,而最新的次要版本(1.2)包含一个合理的function丰富的configuration语言,完全支持条件,如nxlog在客户端。
就Web界面而言,Logstash通常使用Kibana,而Graylog2则带有自己的Web界面。 我的build议是尝试一下,看看你更喜欢哪一个。 Graylog2需要的修补程序较less,但就自定义报告仪表板而言,Kibana的function非常强大。
事件日志input旨在从要安装日志的Windows主机上安装的Logstash代理本地运行。 由于Logstash代理是用Java编写的,而且JVM可以占用大量的内存,所以除非系统中有大量的内存,否则可能不希望将其挂起。 nxlog精简了很多,并且使用JSON或GELF来拉取Windows事件日志数据并将其转发到Logstash方面做得非常好。 它的configuration语法也比Logstash更健壮,function更强大,因此在转发它们之前,可能会发现使用事件日志执行复杂的事情变得更加容易,例如在嘈杂的日志到达服务器之前将其过滤掉。
Logstash有一个CSVfilter,所以最好的办法就是通过TCP或UDP套接字将原始日志数据提交给Logstash服务器,并让数据输出。 nxlog可能有类似的function,但我从来没有找过它。