logstash (atau graylog?) vs nxLog untuk mengumpulkan log peristiwa dan csv log [ditutup]

12

Saat ini saya sedang menyelidiki kemungkinan untuk mengkonsolidasikan log dari beberapa server menggunakan logstash (atau graylog2).

Saya masih agak bingung tentang perbedaan logstash dan graylog. Sejauh ini saya menghargai kemudahan penggunaan logstash, tetapi saya akan tertarik mendengar pengalaman dari orang lain.

Lebih jauh lagi, tampaknya logstash bisa mendapatkan log peristiwa Windows. Apakah ada insentif untuk menggunakan nxLog atau snare saja? Banyak orang yang melaporkan menggunakan nxlog untuk meneruskan peristiwa ke instance logstash jauh. Apakah ini cara yang disarankan?

Untuk saat ini kami ingin menggabungkan dari beberapa kotak:

  • log kejadian windows
  • File csv pihak ketiga

Terima kasih sebelumnya atas umpan balik.

E. Jaep
sumber

Jawaban:

18

Logstash dan Graylog adalah perangkat lunak yang sangat mirip. Keduanya dirancang untuk mengambil data log melalui jaringan dan menyimpannya di ElasticSearch agar dapat diambil oleh antarmuka web nanti. Graylog2 dirancang untuk memiliki out-of-the-box default yang masuk akal bagi kebanyakan orang, sementara Logstash dirancang agar sangat dapat diprogram, dan versi minor terbaru (1.2) mencakup bahasa konfigurasi yang cukup fitur dengan dukungan penuh untuk persyaratan, seperti nxlog memiliki di sisi klien.

Dalam hal antarmuka web, Logstash umumnya menggunakan Kibana, sementara Graylog2 dikirimkan dengan antarmuka web sendiri. Rekomendasi saya adalah untuk mencoba keduanya dan melihat mana yang lebih Anda sukai. Graylog2 membutuhkan lebih sedikit mengutak-atik, tetapi Kibana lebih kuat dalam hal apa yang dapat Anda lakukan dengan dasbor pelaporan kustom.

Input eventlog dimaksudkan untuk dijalankan secara lokal dari agen Logstash yang diinstal pada host Windows yang Anda ingin kumpulkan log. Karena agen Logstash ditulis dalam Java, dan JVM dapat mengikat sejumlah besar memori, Anda mungkin tidak ingin hangout kecuali Anda memiliki tumpukan memori yang melayang di sistem Anda. nxlog jauh lebih ramping dan melakukan pekerjaan besar menarik data Windows Event Log dan meneruskannya ke Logstash menggunakan JSON atau GELF. Sintaks konfigurasinya juga jauh lebih kuat dan berfitur lengkap daripada Logstash, jadi Anda mungkin merasa lebih mudah untuk melakukan hal-hal kompleks dengan log peristiwa Anda sebelum meneruskannya, seperti memfilter log berisik sebelum mereka sampai ke server.

Logstash memiliki filter CSV, jadi taruhan terbaik Anda adalah hanya mengirimkan data log mentah ke server Logstash melalui soket TCP atau UDP dan biarkan ia mengetahui datanya. nxlog mungkin memiliki fungsionalitas untuk melakukan sesuatu yang serupa, tetapi saya belum pernah mencarinya.

jgoldschrafe
sumber