E. *_*aep 12 logging logstash graylog
我目前正在研究使用logstash(或graylog2)整合来自多个服务器的日志的可能性。
我对logstash和graylog的区别还是有点困惑。到目前为止,我很欣赏 logstash 的易用性,但我很想听听其他人的经验。
此外,logstash 似乎可以获取 Windows 事件日志。是否有任何动机使用 nxLog 或 snare 来代替?许多人报告使用 nxlog 将事件转发到远处的 logstash 实例。这是推荐的方式吗?
目前,我们想从多个盒子中整合:
提前感谢您的任何反馈。
jgo*_*afe 18
Logstash 和 Graylog 是非常相似的软件。它们都旨在通过网络获取日志数据并将其存储在 ElasticSearch 中,稍后可以通过 Web 界面获取。Graylog2 旨在为大多数人提供合理的开箱即用默认值,而 Logstash 被设计为高度可编程,最新的次要版本 (1.2) 包括一个功能相当丰富的配置语言,完全支持条件,就像 nxlog 一样在客户端。
在Web界面方面,Logstash一般使用Kibana,而Graylog2自带Web界面。我的建议是都尝试一下,看看你更喜欢哪一个。Graylog2 需要较少的修改,但 Kibana 在自定义报告仪表板的功能方面要强大得多。
事件日志输入旨在从安装在要收集日志的 Windows 主机上的 Logstash 代理本地运行。由于 Logstash 代理是用 Java 编写的,并且 JVM 可以占用大量内存,因此除非您的系统上有一堆内存,否则您可能不希望它挂在外面。nxlog 更精简,并且在提取 Windows 事件日志数据并使用 JSON 或 GELF 将其转发到 Logstash 方面做得很好。它的配置语法也比 Logstash 的更健壮和功能齐全,因此您可能会发现在转发事件日志之前更容易对它们执行复杂的操作,例如在它们到达服务器之前过滤掉嘈杂的日志。
Logstash 有一个 CSV 过滤器,所以最好的办法是通过 TCP 或 UDP 套接字将原始日志数据提交到 Logstash 服务器,并让它计算出数据。nxlog 可能有做类似事情的功能,但我从未寻找过它。