推薦5個好用的開源日誌分析工具

作者 | Sam Bocetta

譯者 | 平川

監控網路活動可能是一項單調而乏味的工作，但你有充分的理由要這樣做。首先，它可以幫助你查找和調查工作站、連網設備和伺服器上的可疑登錄，同時確定管理員濫用的源頭。還可以跟蹤軟體安裝和數據傳輸，以便實時識別潛在的問題。

這些日誌還有助於公司遵守適用於歐盟內任何實體的《通用數據保護條例》（GDPR）。因為如果你的網站要在歐盟是可瀏覽的，那麼就必須遵守 GDPR。

日誌記錄（跟蹤和分析）應該是任何監控基礎設施中的一個基本過程。要從災難中恢復 SQL Server 資料庫，就需要事務日誌文件。此外，通過跟蹤日誌文件，DevOps 團隊和資料庫管理員（DBA）可以保持最佳的資料庫性能，或者在網路受到攻擊的情況下找到未授權活動的證據。因此，定期監視和分析系統日誌非常重要。

現下有相當多的開源日誌跟蹤器和分析工具可供使用，這使得為活動日誌選擇正確的資源變得比想像中更容易。免費和開源軟體社區提供了適用於各種站點以及幾乎任何操作系統的日誌設計，為大家推薦 5 個非常好用的開源日誌分析工具。

Graylog

Graylog 於 2011 年在德國創建，現在作為開源工具或商業解決方案提供。它被設計成一個集中式日誌管理系統，接收來自不同伺服器或端點的數據流，並允許用戶快速瀏覽或分析該信息。

由於其易於擴展，Graylog 在系統管理員中建立了良好的聲譽。大多數 Web 項目開始時規模很小，但是之後可能會成倍增長。Graylog 可以平衡跨後端伺服器網路的負載，每天處理幾 TB 的日誌數據。

IT 管理員會發現，Graylog 的前端界面易於使用，並且功能強大。Graylog 是圍繞儀錶板的概念構建的，它允許你選擇你認為最有價值的度量標準或數據源，並快速查看隨著時間的變化趨勢。

當發生安全或性能事件時，IT 管理員希望能夠儘可能快地從癥狀追溯到根源。Graylog 中的搜索功能使這項工作變得簡單。它具有內置的容錯功能，可以運行多線程搜索，因此，你可以同時分析多個潛在的威脅。

https://www.graylog.org/products/open-source

Nagios

Nagios 始於 1999 年，當時只有一名開發人員，後來發展成為管理日誌數據的最可靠的開源工具之一。當前版本的 Nagios 可以與運行 Microsoft Windows、Linux 或 Unix 的伺服器集成。

它的主要產品是一個日誌伺服器，其目的是簡化數據收集並使系統管理員更容易訪問信息。Nagios 日誌伺服器引擎將實時捕獲數據並將其提供給一個強大的搜索工具。由於內置了安裝嚮導，集成新端點或應用程序變得很容易。

Nagios 最常用於需要監視本地網路安全性的組織。它可以審計一系列與網路相關的事件，並幫助你自動分發警報。如果滿足特定的條件，甚至可以將 Nagios 配置為運行預定義的腳本，從而讓你可以在人員介入之前解決問題。

作為網路審計的一部分，Nagios 將根據日誌數據來源的地理位置過濾日誌數據。這意味著你可以使用映射技術構建一個全面的儀錶板，以了解 Web 流量是如何流動的。

https://www.nagios.org/downloads/

Elastic Stack

Elastic Stack，通常稱為 ELK Stack，是那些需要篩選大量數據並理解其系統日誌的組織中最流行的開源工具之一（這是我個人的最愛）。

它主要由以下三個獨立的產品組成：

顧名思義，Elasticsearch 旨在幫助用戶使用多種查詢語言和類型在數據集中找出匹配項。速度是這個工具的最大優勢。它可以擴展成由數百個伺服器節點組成的集群，輕鬆處理 PB 級的數據。

Kibana 是一個可視化工具，它與 Elasticsearch 一起運行，允許用戶分析他們的數據並構建強大的報告。當你第一次在伺服器集群上安裝 Kibana 引擎時，你將獲得一個顯示數據統計、圖形甚至動畫的界面。

ELK Stack 的最後一部分是 Logstash，它是作為一個純粹的、進入 Elasticsearch 資料庫的伺服器端管道。你可以使用各種編碼語言和 API 集成 Logstash。這樣，你的網站和移動應用程序中的信息就可以直接輸入到強大的 Elastic Stalk 搜索引擎中。

ELK Stack 的一個獨特特性是，它允許你監控構建在 WordPress 開源版本上的應用程序。與大多數跟蹤管理和 PHP 日誌（僅此而已）的開箱即用的安全審計日誌工具相比，ELK Stack 可以篩選 Web 伺服器和資料庫日誌。

糟糕的日誌跟蹤和資料庫管理是導致網站性能差的最常見原因之一。如果沒有定期檢查、優化和清空資料庫日誌，不僅會降低站點的運行速度，還可能導致完全崩潰。因此，ELK 堆棧對於每個 WordPress 開發人員的工具包來說都是一個優秀的工具。

https://www.elastic.co/products/

LOGalyze

LOGalyze 是一個位於匈牙利的組織，它為系統管理員和安全專家構建開源工具，幫助他們管理伺服器日誌並將其轉換為有用的數據點。其主要產品可供個人或商業用戶免費下載。

LOGalyze 被設計成一個巨大的管道，其中可以有多個伺服器、應用程序和網路設備使用簡單對象訪問協議（Simple Object Access Protocol，SOAP）方法提供信息。它提供了一個前端界面，管理員可以登錄該界面監控數據收集並開始分析數據。

在 LOGalyze 的 Web 界面中，你可以運行動態報告，並將其導出成 Excel 文件、PDF 或其他格式。這些報告基於 LOGalyze 後台管理的多維統計數據。它甚至可以跨伺服器或應用程序組合數據欄位，以幫助你發現性能趨勢。

LOGalyze 被設計成在不到一個小時內就可以完成安裝和配置。它預先構建的功能使它能夠以法規所要求的格式收集審計數據。例如，LOGalyze 可以很容易地運行不同的 HIPAA 報告，以確保你的組織遵守衛生法規並保持合規性。

Fluentd

如果你的組織的數據源位於許多不同的位置和環境中，那麼你的目標應該是儘可能地集中它們。否則，你將難以監控性能並防範安全威脅。

Fluentd 是一個健壯的數據收集解決方案，並且完全是開源的。它沒有提供完整的前端界面，而是作為一個集合層來幫助組織不同的管道。Fluentd 被世界上一些最大的公司使用，但是也可以在較小的組織中實施。

Fluentd 最大的好處是它與當今最常見的技術工具兼容。例如，你可以使用 Fluentd 從 Web 伺服器（如 Apache）收集數據，從智能設備收集感測器數據，從 MongoDB 收集動態記錄。如何處理這些數據完全由你決定。

Fluentd 基於 JSON 數據格式，可以與 500 多個由著名開發人員創建的插件一起使用。這使你可以將日誌數據擴展到其他應用程序中，並通過最少的手工工作來進行更好地分析。

https://www.fluentd.org/

小 結

如果你還沒有把活動日誌用於安全考量、政府合規性和生產力度量，那麼請務必改變這種情況。市場上有很多插件，它們可以用於多種環境和平台，甚至可以用在你的內部網路上。不要等到發生了嚴重的事件，才開始採取積極主動的方法來維護和監督日誌。

英文原文

https://opensource.com/article/19/4/log-analysis-tools

點個在看少個 bug

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！