6个比较好用的开源集中式日志管理工具

与安全性一样，集中式日志记录是 IT 基础设施（包括 Web 应用程序和硬件设备）中核心资源监控和健全管理的一个基本方面。有能力的运营团队总是有一个日志监控和管理系统，这被证明是有益的，尤其是当出现系统故障或应用程序行为异常时。

为什么日志记录如此重要？

当系统崩溃或应用程序出现故障时（有时会发生这种情况），您需要追根究底并找出故障原因。日志文件记录系统活动并深入了解错误和后续故障的可能来源。他们给出了一个详细的事件序列，包括一个详细的时间戳，引发或导致了一个事件。

任何系统的诊断和恢复都从查看系统日志开始。分析日志文件可以帮助运营团队找到可疑活动的证据，例如指向安全漏洞的未经授权的登录。它可以帮助数据库管理员调整他们的数据库以获得最佳性能，还可以帮助开发人员解决他们的应用程序问题并编写更好的代码。

集中记录

管理和分析来自一个或两个服务器的日志文件可能是一项容易的工作。对于拥有数十台服务器的企业环境来说，情况就不同了。因此，最推荐使用集中式日志记录。集中日志记录将来自所有系统的日志文件整合到一台专用服务器中，以便于日志管理。它节省了本来用于登录和分析单个系统的日志文件的时间和精力。

在本指南中，我们重点介绍了一些最著名的 Linux 开源集中式日志管理系统。

ManageEngine Log360是一种SIEM或安全分析解决方案，可帮助您应对本地、云端或混合环境中的威胁。

它还可以帮助组织遵守 PCI DSS、HIPAA、GDPR 等合规性要求。您可以自定义解决方案以满足您独特的用例并保护您的敏感数据。

借助Log360，您可以监控和审核在 Active Directory、网络设备、员工工作站、文件服务器、数据库、Microsoft 365 环境、云服务等中发生的活动。

Log360关联来自不同设备的日志数据，以检测复杂的攻击模式和高级持续性威胁。该解决方案还带有基于机器学习的行为分析，可以检测用户和实体行为异常并将它们与风险评分相结合。

安全分析以 1000 多个预定义的可操作报告的形式呈现。可以执行日志取证以找到安全挑战的根本原因。

内置的事件管理系统允许您通过智能工作流和与流行的票务工具的集成来自动执行补救响应。

该解决方案可以在本地安装，也可以在云端作为 Log360 Cloud 使用。通过电话、电子邮件和其他在线资源提供支持。

以下是 Log360 可以为您做的事情：

Elastic Stack，通常缩写为ELK，是一种流行的三合一日志集中、解析和可视化工具，可将来自多台服务器的大量数据和日志集中到一台服务器中。

ELK Stack 包含 3 种不同的产品：

Logstash是一个免费的开源数据管道，它收集日志和事件数据，甚至处理数据并将其转换为所需的输出。使用名为“ beats ”的代理将数据从远程服务器发送到logstash。“ beats ”将大量系统指标和日志发送到Logstash，然后对其进行处理。然后它将数据提供给Elasticsearch。

Elasticsearch基于Apache Lucene构建，是一个开源分布式搜索和分析引擎，适用于几乎所有类型的数据——包括结构化和非结构化数据。这包括文本、数字和地理空间数据。

它于 2010 年首次发布。Elasticsearch是ELK堆栈的核心组件，以其速度、可扩展性和 REST API 着称。它存储、索引和分析从Logstash传递的大量数据。

数据最终传递给Kibana，这是一个与Elasticsearch一起运行的 WebUI 可视化平台。Kibana允许您探索和可视化来自 elasticsearch 的时间序列数据和日志。它在直观的仪表板上可视化数据和日志，这些仪表板采用各种形式，例如条形图、饼图、直方图等。

Graylog是另一种流行且功能强大的集中式日志管理工具，它带有开源和企业计划。它接受来自安装在多个节点上的客户端的数据，并且就像Kibana一样，在 Web 界面上的仪表板上可视化数据。

Graylogs在制定涉及 Web 应用程序用户交互的业务决策方面发挥着重要作用。它收集有关应用程序行为的重要分析，并在各种图形（例如条形图、饼图和直方图等）上可视化数据。收集的数据为关键业务决策提供信息。

例如，您可以确定客户使用您的 Web 应用程序下订单的高峰时间。有了这些洞察力，管理层可以做出明智的业务决策以增加收入。

与Elastic Search不同，Graylog为数据收集、解析和可视化提供单一应用程序解决方案。它消除了安装多个组件的需要，这与 ELK 堆栈不同，在ELK堆栈中，您必须单独安装各个组件。Graylog在MongoDB中收集和存储数据，然后在用户友好且直观的仪表板上可视化。

Graylog被开发人员广泛用于应用程序部署的不同阶段，以跟踪 Web 应用程序的状态并获取请求时间、错误等信息。这有助于他们修改代码并提高性能。

Fluentd是用C 编写的，是一个跨平台的开源日志监控工具，它统一了来自多个数据源的日志和数据收集。它是完全开源的，并在Apache 2.0许可证下获得许可。此外，还有一种供企业使用的订阅模式。

Fluentd处理结构化和半结构化数据集。它分析应用程序日志、事件日志和点击流，旨在成为不同类型日志输入和输出之间的统一层。

它以JSON格式构建数据，使其能够无缝统一数据记录的所有方面，包括跨多个节点收集、过滤、解析和输出日志。

Fluentd占用资源少且资源友好，因此您不必担心内存不足或 CPU 过度使用。此外，它还拥有灵活的插件架构，用户可以利用 500 多个社区开发的插件来扩展其功能。

LOGalyze是一个强大的网络监控和日志管理工具，可以收集和解析来自网络设备、Linux 和 Windows 主机的日志。它最初是商业性的，但现在可以完全免费下载和安装，没有任何限制。

LOGalyze是分析服务器和应用程序日志并以各种报告格式（如 PDF、CSV 和 HTML）呈现它们的理想选择。它还提供广泛的搜索功能和跨多个节点的服务的实时事件检测。

与前面提到的日志监控工具一样，LOGalyze也提供了一个简洁明了的 Web 界面，允许用户登录并监控各种数据源和分析日志文件。

NXlog是另一个强大的多功能日志收集和集中工具。它是一个多平台日志管理实用程序，专为发现策略违规、识别安全风险以及分析系统、应用程序和服务器日志中的问题而量身定制。

NXlog能够以各种格式整理来自众多端点的事件日志，包括 Syslog 和 Windows 事件日志。它可以执行一系列与日志相关的任务，例如日志轮换和日志重写。日志压缩，也可以配置为发送警报。

您可以下载两个版本的NXlog：免费下载和使用的社区版，以及基于订阅的企业版。