logstash (lub graylog?) vs nxLog do zbierania dzienników zdarzeń i dzienników csv [zamknięte]

12

Obecnie badam możliwość konsolidacji dzienników z wielu serwerów za pomocą logstash (lub graylog2).

Nadal jestem trochę zdezorientowany różnicą logstash i graylog. Do tej pory doceniałem łatwość użycia logstash, ale chciałbym usłyszeć doświadczenia innych ludzi.

Ponadto wydaje się, że logstash może uzyskać dzienniki zdarzeń Windows. Czy istnieje jakaś zachęta do korzystania z nxLog lub sidła? Wiele osób zgłasza za pomocą nxlog przekazywanie zdarzeń do odległej instancji logstash. Czy to zalecany sposób?

Na razie chcielibyśmy skonsolidować z wielu pól:

  • dzienniki zdarzeń systemu Windows
  • Plik csv innej firmy

Z góry dziękuję za wszelkie opinie.

E. Jaep
źródło

Odpowiedzi:

18

Logstash i Graylog to bardzo podobne programy. Oba są zaprojektowane do pobierania danych dziennika przez sieć i przechowywania ich w ElasticSearch, gdzie można je później pobrać z interfejsu internetowego. Graylog2 został zaprojektowany tak, aby mieć rozsądne domyślne ustawienia domyślne dla większości ludzi, podczas gdy Logstash jest wysoce programowalny, a najnowsza wersja pomocnicza (1.2) zawiera dość funkcjonalny język konfiguracji z pełną obsługą warunków warunkowych, tak jak nxlog ma po stronie klienta.

Jeśli chodzi o interfejsy sieciowe, Logstash ogólnie używa Kibana, podczas gdy Graylog2 jest dostarczany z własnym interfejsem internetowym. Radzę wypróbować oba i zobaczyć, które bardziej Ci się podobają. Graylog2 potrzebuje mniej majsterkowania, ale Kibana jest absurdalnie silniejsza, jeśli chodzi o to, co można zrobić z niestandardowymi pulpitami raportowania.

Dane wejściowe dziennika zdarzeń mają być uruchamiane lokalnie z agenta Logstash zainstalowanego na hoście Windows, na którym chcesz gromadzić logi. Ponieważ agent Logstash jest napisany w Javie, a JVM może zawiązać ogromną ilość pamięci, prawdopodobnie nie chcesz, żeby się zawieszał, chyba że masz stos pamięci pływający w twoim systemie. nxlog jest znacznie szczuplejszy i wykonuje świetną robotę, wyciągając dane z dziennika zdarzeń Windows i przesyłając je do Logstash za pomocą JSON lub GELF. Jego składnia konfiguracji jest również znacznie bardziej niezawodna i w pełni funkcjonalna niż Logstash, więc może być łatwiej wykonywać złożone czynności z dzienników zdarzeń przed ich przekazaniem, np. Filtrowanie hałaśliwych dzienników, zanim dotrą one do serwera.

Logstash ma filtr CSV, więc najlepszym rozwiązaniem jest przesłanie nieprzetworzonych danych dziennika do serwera Logstash za pośrednictwem gniazda TCP lub UDP i pozwolenie, aby dane się zorientowały. nxlog może mieć funkcjonalność pozwalającą zrobić coś podobnego, ale nigdy tego nie szukałem.

jgoldschrafe
źródło