ログ エントリ (ファイアウォール ログなど) の継続的なストリームがあると仮定すると、イベントのストリームを処理し、それに対してリアルタイムで計算を実行できるツールが必要です (たとえば、さまざまな IP アドレスからのアクセス数を時間枠 - たとえば 10 分) を設定し、何らかの条件が満たされたときにアラートをトリガーします (例: アクセス数が 100 を超える)。
Storm Project、InfluxDB、OpenTSDB、KairosDBは知っていますが、Strom を除いて、これらはこの種の処理用に設計されたツールのようには見えません。私の質問は、このタイプの仕事により適したツールを誰かが知っているかどうかです.
メッセージ (ログ エントリ) をKafkaキューにフィードし、Storm を統合することができます。Storm と Kafka の間には、Kafka クラスターから読み取るスパウトであるKafkaSpoutと呼ばれる優れた統合があります。
時間枠でリアルタイム処理を行うには、通常は複雑なイベント処理ユニット (CEP) であるEsperを確認できます。あなたが言及したように、イベントストリーム処理を行うのに非常に役立つはずです。
Splunkは一見の価値があります。Splunk を使用すると、リアルタイムで監視してアラートを出すことができます。また、リアルタイムの検索および分析機能もサポートしています。Splunk は基本的に、ユーザーがグラフ、レポート、アラート、ダッシュボード、ビジュアライゼーションを生成できる検索可能なリポジトリでリアルタイム データをキャプチャ、インデックス付け、関連付けします。これは、エンド ユーザーの観点からははるかに簡単です。
EVAMを見ることができます。シナリオ ベースのデザイナーがあり、同じストリームに対して複数のシナリオを並列または順次実行できます。イベントとアクションの生成が一度行われると、GUI のドラッグ アンド ドロップ アプローチを使用して多くのシナリオを作成できます。