logstash (o graylog?) vs nxLog per raccogliere registri eventi e registri CSV [chiuso]

Attualmente sto studiando la possibilità di consolidare i log da più server utilizzando logstash (o graylog2).

Sono ancora un po 'confuso riguardo alla differenza logstash e graylog. Finora ho apprezzato la facilità d'uso di logstash, ma sarei interessato a sentire l'esperienza di altre persone.

Inoltre, sembra che logstash possa ottenere i log degli eventi di Windows. Esistono incentivi per utilizzare nxLog o rullante? Molte persone stanno segnalando utilizzando nxlog per inoltrare eventi a un'istanza di logstash distante. È il modo raccomandato?

Per ora vorremmo consolidare da più caselle:

• registri eventi di windows
• File CSV di terze parti

Grazie in anticipo per qualsiasi feedback.

Logstash e Graylog sono software molto simili. Sono entrambi progettati per trasferire i dati di registro in rete e archiviarli in ElasticSearch dove possono essere raccolti in seguito da un'interfaccia Web. Graylog2 è progettato per avere impostazioni predefinite ragionevoli per la maggior parte delle persone, mentre Logstash è progettato per essere altamente programmabile e l'ultima versione minore (1.2) include un linguaggio di configurazione ragionevolmente ricco di funzionalità con pieno supporto per i condizionali, come nxlog ha sul lato client.

In termini di interfacce Web, Logstash usa generalmente Kibana, mentre Graylog2 viene fornito con una propria interfaccia web. La mia raccomandazione è di provare entrambi e vedere quale ti piace di più. Graylog2 ha bisogno di meno aggiustamenti, ma Kibana è assurdamente più potente in termini di cosa si può fare con dashboard di report personalizzati.

L'input del registro eventi deve essere eseguito localmente da un agente Logstash installato sull'host Windows su cui si desidera raccogliere i registri. Poiché l'agente Logstash è scritto in Java e la JVM può legare un'enorme quantità di memoria, probabilmente non la vorrai sospesa a meno che tu non abbia un mucchio di memoria che fluttua sui tuoi sistemi. nxlog è molto più snello e fa un ottimo lavoro estraendo i dati del registro eventi di Windows e inoltrandoli a Logstash usando JSON o GELF. La sua sintassi di configurazione è anche molto più robusta e completa di quella di Logstash, quindi potresti trovare più facile fare cose complesse con i tuoi log degli eventi prima di inoltrarli, come filtrare i log rumorosi prima che arrivino mai al server.

Logstash ha un filtro CSV, quindi la cosa migliore da fare è inviare i dati di registro non elaborati al server Logstash su un socket TCP o UDP e lasciarlo capire. nxlog potrebbe avere funzionalità per fare qualcosa di simile, ma non l'ho mai cercato.