私たちのチームは現在、監視とアラートにzabbixを使用しています。さらに、流暢を使用して中央の mongoDB にログを収集し、1 週間動作させます。最近、別のソリューション、Logstash について話し合っていました。それらの違いは何ですか?私の意見では、zabbix をデータ収集およびアラート送信プラットフォームとして使用し、流暢にインフラストラクチャ全体で「データ収集」の役割を果たしたいと考えています。Logstash の Web サイトを調べたところ、Logstash はログ収集システムであるだけでなく、収集、プレゼンテーション、および検索のための完全なソリューションでもあることがわかりました。
誰かがアドバイスをしたり、経験を共有したりできますか?
Logstash は非常に用途が広い (免責事項: 数週間しか使っていない)。
しばらくの間、Graylog2 を検討していましたが (syslog をリッスンし、優れた検索 UI を提供しています)、そのメッセージ処理機能は Drools エンジンに基づいており、せいぜい難解です。
私は、logstash が中央サーバーから syslog ファイルを読み取り、イベントをマッサージして、Graylog2 に出力する方がはるかに簡単であることがわかりました。柔軟性が大幅に向上し、OS レベルの syslog データとともにアプリケーション レベルのイベントを追加できるようになりました。
zabbix 出力があるので、一見の価値があるかもしれません。
Logstash は Zabbix と非常によく合います。
github でレポをフォークして、logstash statsd の出力を取得し、それを傾向分析/アラートのために Zabbix に送信しました。別の人が言及したように、logstash には、一致するイベントの通知/送信に最適な Zabbix 出力プラグインもあります。
個人的には、Logstash->Graylog2(->Elasticsearch)よりもネイティブのLogstash->Elasticsearchバックエンドを好みます。
特に大量のログ データがある場合は、管理が容易になります。現在、Graylog2 は Elasticsearch も使用していますが、すべてのデータに対して単一のインデックスのみを使用しています。古いデータを定期的にクリーンアップしている場合、これは、Logstash がデフォルトで毎日のインデックスに設定されている場合に、古いデータを消去するために多くの SQL「delete from table where date>YYYY.MM.DD」型呼び出しに相当することを意味します (同等の"ドロップ テーブル YYYY.MM.DD" の)、クリーンアップがより適切になります。
また、インデックスには含まれるその日のデータに基づいて名前が付けられているため、既知の日付を検索できるため、検索がよりクリーンになり、必要なヒープ スペースが少なくなります。