현재 logstash (또는 graylog2)를 사용하여 여러 서버의 로그를 통합 할 가능성을 조사 중입니다.
나는 여전히 logstash와 graylog의 차이점에 대해 약간 혼란 스럽습니다. 지금까지 logstash의 사용 편의성을 높이 평가했지만 다른 사람들의 경험을 듣는 데 관심이 있습니다.
또한 logstash가 Windows 이벤트 로그를 얻을 수있는 것으로 보입니다. nxLog 또는 올가미를 대신 사용할 인센티브가 있습니까? 많은 사람들이 nxlog를 사용하여 이벤트를 먼 logstash 인스턴스로 전달한다고보고합니다. 권장되는 방법입니까?
당분간 여러 상자에서 통합하고 싶습니다.
모든 의견에 미리 감사드립니다.
답변:
Logstash와 Graylog는 매우 유사한 소프트웨어입니다. 둘 다 네트워크를 통해 로그 데이터를 가져 와서 나중에 웹 인터페이스에서 선택할 수있는 ElasticSearch에 저장하도록 설계되었습니다. Graylog2는 대부분의 사람들에게 현명한 기본 설정을 갖도록 설계되었으며 Logstash는 고도로 프로그래밍 가능하도록 설계되었으며 최신 마이너 버전 (1.2)에는 nxlog와 같이 조건부를 완벽하게 지원하는 합리적인 구성 언어가 포함되어 있습니다. 클라이언트 측에서.
웹 인터페이스 측면에서 Logstash는 일반적으로 Kibana를 사용하는 반면 Graylog2에는 자체 웹 인터페이스가 제공됩니다. 내 추천은 둘 다 시도하고 더 좋아하는 것을 보는 것입니다. Graylog2는 땜질이 덜 필요하지만 Kibana는 사용자 지정보고 대시 보드로 수행 할 수있는 작업 측면에서 터무니없이 강력합니다.
eventlog 입력은 로그를 수집하려는 Windows 호스트에 설치된 Logstash 에이전트에서 로컬로 실행됩니다. Logstash 에이전트는 Java로 작성되고 JVM은 많은 양의 메모리를 묶을 수 있으므로 시스템에 메모리가 떠 있지 않은 한 행 아웃을 원하지 않을 것입니다. nxlog는 훨씬 적으며 Windows 이벤트 로그 데이터를 가져 와서 JSON 또는 GELF를 사용하여 Logstash에 전달하는 작업이 훌륭합니다. 구성 구문은 Logstash보다 훨씬 강력하고 완전한 기능을 제공하므로 서버에 도달하기 전에 잡음이 많은 로그를 필터링하는 것처럼 이벤트 로그를 전달하기 전에 복잡한 작업을 수행하는 것이 더 쉽다는 것을 알 수 있습니다.
Logstash에는 CSV 필터가 있으므로 TCP 또는 UDP 소켓을 통해 원시 로그 데이터를 Logstash 서버에 제출하고 데이터를 파악하는 것이 가장 좋습니다. nxlog는 비슷한 기능을 수행 할 수있는 기능이있을 수 있지만 찾지 못했습니다.