web-dev-qa-db-ja.com

logstash(またはgraylog?)とnxLogは、イベントログとcsvログを収集します

現在、logstash(またはgraylog2)を使用して複数のサーバーからのログを統合する可能性を調査しています。

私はまだlogstashとgraylogの違いについて少し混乱しています。これまでのところ、logstashの使いやすさを高く評価しましたが、他の人からの経験を聞きたいと思います。

さらに、logstashがWindowsイベントログを取得できるようです。代わりにnxLogまたはsnareを使用するインセンティブはありますか?多くの人々がnxlogを使用してイベントを遠隔のlogstashインスタンスに転送すると報告しています。お勧めの方法ですか?

当面は、複数のボックスから統合したいと思います。

  • windowsイベントログ
  • サードパーティのcsvファイル

フィードバックをお寄せいただきありがとうございます。

12
E. Jaep

LogstashとGraylogは非常によく似たソフトウェアです。どちらも、ネットワークを介してログデータを取得し、ElasticSearchに保存するように設計されています。ElasticSearchで、後でWebインターフェイスで取得できます。 Greylog2は、ほとんどの人がすぐに使えるデフォルトの設計になっていますが、Logstashは高度にプログラムできるように設計されており、最新のマイナーバージョン(1.2)には、nxlogのような条件文を完全にサポートする合理的な機能を備えた構成言語が含まれていますクライアント側で。

Webインターフェースに関しては、Logstashは通常Kibanaを使用しますが、Graylog2は独自のWebインターフェースを備えています。私の推奨は、両方を試してみて、どちらがより好きかを確認することです。 Graylog2はいじくり回す必要はありませんが、Kibanaはカスタムレポートダッシュボードで何ができるかという点で驚くほど強力です。

イベントログ入力は、ログを収集するWindowsホストにインストールされているLogstashエージェントからローカルで実行することを目的としています。 LogstashエージェントはJavaで記述されており、JVMは大量のメモリを占有する可能性があるため、システム上に大量のメモリが流れている場合を除いて、JVMがハングアップすることは望ましくありません。 nxlogはよりスリムで、Windowsイベントログデータをプルし、JSONまたはGELFを使用してLogstashに転送するのに優れています。その構成構文はLogstashの構成構文よりもはるかに堅牢でフル機能であるため、転送する前にイベントログを使用して複雑な処理を簡単に実行できる場合があります。たとえば、うるさいログをサーバーに到達する前にフィルタリングするなどです。

LogstashにはCSVフィルターがあるので、生のログデータをTCPまたはUDPソケットを介してLogstashサーバーに送信し、データを取得できるようにするのが最善策です。nxlogには、同様のことをしますが、私はそれを探したことがありません。

18
jgoldschrafe