Answers:
Logstash和Graylog是非常相似的软件。它们都旨在通过网络获取日志数据,并将其存储在ElasticSearch中,以后可通过Web界面将其提取。Graylog2旨在为大多数人提供明智的即用型默认设置,而Logstash则被设计为高度可编程的,而最新的次要版本(1.2)包括功能相当合理的配置语言,全面支持条件,例如nxlog具有在客户端。
在Web界面方面,Logstash通常使用Kibana,而Graylog2附带其自己的Web界面。我的建议是尝试一下,看看您更喜欢哪个。Graylog2需要更少的修补工作,但是就您可以使用自定义报告仪表板而言,Kibana的功能更强大。
eventlog输入旨在从要收集日志的Windows主机上安装的Logstash代理在本地运行。由于Logstash代理是用Java编写的,并且JVM可以占用大量内存,因此除非您的系统上有大量内存在浮动,否则您可能不希望它挂出。nxlog精简得多,并且在提取Windows事件日志数据并将其使用JSON或GELF转发到Logstash方面做得很好。它的配置语法也比Logstash的语法更健壮和功能更强大,因此您可能会发现,在转发事件日志之前,您可以更轻松地对它们进行复杂的处理,例如在将噪声日志发送到服务器之前将其过滤掉。
Logstash具有CSV过滤器,因此,最好的选择就是通过TCP或UDP套接字将原始日志数据提交到Logstash服务器,并让其找出数据。nxlog可能具有执行类似功能的功能,但我从未寻找过。