logstash (oder graylog?) vs nxLog zum Sammeln von Ereignisprotokollen und csv-Protokollen [closed]

12

Ich untersuche derzeit die Möglichkeit, Protokolle von mehreren Servern mithilfe von logstash (oder graylog2) zu konsolidieren.

Ich bin immer noch ein bisschen verwirrt über den Unterschied zwischen Logstash und Graylog. Bisher habe ich die Benutzerfreundlichkeit von logstash sehr geschätzt, aber ich wäre daran interessiert, die Erfahrungen von anderen Leuten zu hören.

Darüber hinaus kann logstash anscheinend Windows-Ereignisprotokolle abrufen. Gibt es einen Anreiz, stattdessen nxLog oder snare zu verwenden? Viele Leute berichten, dass sie nxlog verwenden, um Ereignisse an eine entfernte Logstash-Instanz weiterzuleiten. Ist es der empfohlene Weg?

Zur Zeit möchten wir aus mehreren Boxen konsolidieren:

  • Windows-Ereignisprotokolle
  • Drittanbieter-CSV-Datei

Vielen Dank im Voraus für jede Rückmeldung.

E. Jaep
quelle

Antworten:

18

Logstash und Graylog sind sich sehr ähnlich. Beide dienen dazu, Protokolldaten über das Netzwerk zu erfassen und in ElasticSearch zu speichern, wo sie später von einer Webschnittstelle abgerufen werden können. Graylog2 ist so konzipiert, dass die Standardeinstellungen für die meisten Benutzer sofort einsatzbereit sind, während Logstash hochgradig programmierbar ist und die neueste Nebenversion (1.2) eine einigermaßen nützliche Konfigurationssprache mit vollständiger Unterstützung für Bedingungen enthält, wie dies bei nxlog der Fall ist auf der Client-Seite.

In Bezug auf die Webschnittstellen verwendet Logstash in der Regel Kibana, während Graylog2 über eine eigene Webschnittstelle verfügt. Meine Empfehlung ist, beides auszuprobieren und zu sehen, was Ihnen besser gefällt. Graylog2 muss weniger gebastelt werden, aber Kibana ist absurderweise leistungsfähiger, was Sie mit benutzerdefinierten Berichts-Dashboards tun können.

Die Ereignisprotokolleingabe soll lokal von einem Logstash-Agenten ausgeführt werden, der auf dem Windows-Host installiert ist, auf dem Sie Protokolle erfassen möchten. Da der Logstash-Agent in Java geschrieben ist und die JVM eine große Menge an Arbeitsspeicher binden kann, möchten Sie ihn wahrscheinlich nicht hängen lassen, es sei denn, Sie haben einen Stapel Arbeitsspeicher auf Ihren Systemen. nxlog ist viel schlanker und leistet hervorragende Arbeit beim Abrufen von Windows-Ereignisprotokolldaten und beim Weiterleiten an Logstash mithilfe von JSON oder GELF. Die Konfigurationssyntax ist außerdem wesentlich robuster und umfangreicher als die von Logstash. Daher können Sie möglicherweise komplexe Aufgaben mit Ihren Ereignisprotokollen erledigen, bevor Sie sie weiterleiten, z.

Logstash verfügt über einen CSV-Filter. Sie können also am besten Rohprotokolldaten über einen TCP- oder UDP-Socket an den Logstash-Server senden und die Daten ermitteln. nxlog hat möglicherweise Funktionen, um etwas Ähnliches zu tun, aber ich habe nie danach gesucht.

jgoldschrafe
quelle