logstash (ou graylog?) vs nxLog pour collecter les journaux d'événements et les journaux csv [fermé]

J'étudie actuellement la possibilité de consolider les journaux de plusieurs serveurs en utilisant logstash (ou graylog2).

Je suis toujours un peu confus quant à la différence entre logstash et graylog. Jusqu'à présent, j'ai apprécié la facilité d'utilisation de logstash, mais je serais intéressé à entendre l'expérience d'autres personnes.

De plus, il semble que logstash puisse obtenir des journaux d'événements Windows. Existe-t-il une incitation à utiliser nxLog ou snare à la place? De nombreuses personnes signalent utiliser nxlog pour transférer des événements vers une instance de journal de stockage distante. Est-ce la voie recommandée?

Pour l'instant, nous souhaitons consolider à partir de plusieurs boîtes:

• journaux d'événements Windows
• Fichier csv tiers

Merci d'avance pour tout commentaire.

Logstash et Graylog sont des logiciels très similaires. Ils sont tous deux conçus pour prendre les données de journal sur le réseau et les stocker dans ElasticSearch où elles peuvent être récupérées par une interface Web plus tard. Graylog2 est conçu pour avoir des valeurs par défaut raisonnables pour la plupart des gens, tandis que Logstash est conçu pour être hautement programmable, et la dernière version mineure (1.2) comprend un langage de configuration raisonnablement fonctionnel avec une prise en charge complète des conditions, comme nxlog l'a côté client.

En termes d'interfaces Web, Logstash utilise généralement Kibana, tandis que Graylog2 est livré avec sa propre interface Web. Ma recommandation est d'essayer les deux et de voir ce que vous aimez le plus. Graylog2 a besoin de moins de bricolage, mais Kibana est absurdement plus puissant en termes de ce que vous pouvez faire avec des tableaux de bord de rapports personnalisés.

L'entrée du journal des événements est destinée à être exécutée localement à partir d'un agent Logstash installé sur l'hôte Windows sur lequel vous souhaitez collecter les journaux. Étant donné que l'agent Logstash est écrit en Java et que la JVM peut bloquer une énorme quantité de mémoire, vous ne voulez probablement pas qu'elle traîne à moins que vous n'ayez une pile de mémoire flottant sur vos systèmes. nxlog est beaucoup plus simple et fait un excellent travail en extrayant les données du journal des événements Windows et en les transmettant à Logstash à l'aide de JSON ou GELF. Sa syntaxe de configuration est également beaucoup plus robuste et complète que celle de Logstash, vous pouvez donc trouver plus facile de faire des choses complexes avec vos journaux d'événements avant de les transmettre, comme filtrer les journaux bruyants avant qu'ils n'atteignent le serveur.

Logstash a un filtre CSV, donc votre meilleur pari est simplement de soumettre des données de journal brutes au serveur Logstash via un socket TCP ou UDP et de le laisser comprendre les données. nxlog peut avoir des fonctionnalités pour faire quelque chose de similaire, mais je ne l'ai jamais cherché.