日志(还是灰色日志？)vs nxLog收集事件日志和csv日志

Question

我目前正在研究使用logstash (或graylog2)从多个服务器合并日志的可能性。

我仍然对不同的逻辑存储和灰色日志感到有点困惑。到目前为止，我很欣赏logstash的易用性，但我很想听听其他人的经验。

此外，logstash似乎可以获得Windows事件日志。是否有任何动机使用nxLog或圈套替代？许多人使用nxlog将事件转发到远程logstash实例。这是推荐的方法吗？

就目前而言，我们希望从多个盒子中合并：

• windows事件日志
• 第三方csv文件

谢谢您的反馈。

Answer 1

Logstash和Graylog是非常相似的软件。它们的目的都是通过网络获取日志数据，并将其存储在ElasticSearch中，稍后可以通过web接口获取这些数据。Graylog2旨在为大多数人提供合理的开箱即用的默认设置，而Logstash则设计为高度可编程的，最新的次要版本(1.2)包含了一种功能合理的配置语言，完全支持条件，比如客户端的nxlog。

在网络接口方面，Logstash通常使用Kibana，而Graylog2则提供自己的web接口。我的建议是试一试，看看你更喜欢哪一种。Graylog2需要更少的修改，但是Kibana在使用自定义报告仪表板方面更强大。

事件日志输入将从要收集日志的Windows主机上安装的Logstash代理在本地运行。由于Logstash代理是用Java编写的，而且JVM可以占用大量内存，除非系统上有一堆内存，否则您可能不希望它挂起。nxlog非常精简，可以很好地提取Windows事件日志数据，并使用JSON或GELF将其转发给Logstash。它的配置语法也比Logstash的更加健壮和功能齐全，所以您可能会发现在转发事件日志之前使用它们做复杂的事情会更容易，比如在到达服务器之前过滤掉噪音很大的日志。

Logstash有一个CSV过滤器，所以您最好的选择是通过TCP或UDP套接字向Logstash服务器提交原始日志数据，并让它计算出数据。nxlog可能具有类似的功能，但我从未寻找过它。