私は現在、logstash(またはgraylog2)を使用して複数のサーバーからのログを統合する可能性を調査しています。
私はまだlogstashとgraylogの違いについて少し混乱しています。これまでのところ、logstashの使いやすさを高く評価しましたが、他の人からの経験を聞くことに興味があります。
さらに、logstashはWindowsイベントログを取得できるようです。代わりにnxLogまたはsnareを使用するインセンティブはありますか?多くの人々は、nxlogを使用して、離れたlogstashインスタンスにイベントを転送することを報告しています。推奨される方法ですか?
当面は、複数のボックスから統合したいと思います。
フィードバックを事前に感謝します。
回答:
LogstashとGraylogは非常によく似たソフトウェアです。これらは両方とも、ネットワークを介してログデータを取得し、ElasticSearchに保存し、後でウェブインターフェースで取得できるように設計されています。Graylog2は、ほとんどの人がすぐに使えるデフォルトを使用できるように設計されていますが、Logstashは高度にプログラム可能に設計されています。最新のマイナーバージョン(1.2)には、nxlogのように、クライアント側で。
Webインターフェースに関しては、Logstashは通常Kibanaを使用しますが、Graylog2には独自のWebインターフェースが付属しています。両方を試して、どちらが好きかを確認することをお勧めします。Greylog2の調整はそれほど必要ありませんが、Kibanaはカスタムレポートダッシュボードで何ができるかという点でとてつもなく強力です。
eventlog入力は、ログを収集するWindowsホストにインストールされたLogstashエージェントからローカルで実行することを目的としています。LogstashエージェントはJavaで書かれており、JVMは大量のメモリを占有する可能性があるため、システム上に大量のメモリが浮遊している場合を除き、ハングアウトしたくないでしょう。nxlogは非常に効率的で、Windowsイベントログデータを取得し、JSONまたはGELFを使用してLogstashに転送するのに優れた働きをします。また、その構成構文はLogstashよりもはるかに堅牢でフル機能を備えているため、サーバーに到達する前に騒々しいログをフィルターで除外するなど、イベントログを転送する前に複雑な処理を行う方が簡単な場合があります。
LogstashにはCSVフィルターがあるため、TCPまたはUDPソケットを介してLogstashサーバーに生のログデータを送信し、データを把握することをお勧めします。nxlogには似たようなことをする機能があるかもしれませんが、私はそれを探したことがありません。