Vrenskiy Oct 16 2017 at 12:32

Как мы Graylog2 выбирали

3 min

12K

Pixonic corporate blogSystem administration*DevOps*

Comments 6

amarao Oct 17 2017 at 12:57

Использовать E и не использовать LK? Странно.

Расскажите про причны, почему не logstash.

Vrenskiy Oct 17 2017 at 13:57

Потому-что грейлог гораздо удобнее управляет коллекторами на хостах.
На винде logstash очень часто течёт по памяти.
У ELK нет нормальной связки с лдапом и вообще нет вменяемых разграничений прав.

amarao Oct 17 2017 at 16:11

Я понял. Вы используете модель с коллекторами на хостах. Это совсем не тривиально, так как есть вариант с центральным коллектором (на udp). Использование syslog/udp в свою же очередь обеспечивает возможность не тормозить работу чего-либо в ситуации, когда elastic'у плохо или медленно.

Винда в этой схеме, конечно, выглядит как гигантский технический долг для исправления.

Vrenskiy Oct 17 2017 at 16:49

«7 дата-центров по всему миру» При udp мы теряем очень много данных.
Для syslog так или иначе надо на хосте править конфиги чтобы добавить какое-то поле, у нас же этим могут заниматься сами программисты. Единственное требование это написать о добавлении нового поля в чатик.

Ну и винда в нашем случае это половина всех логов, так что с этой суровой реальностью приходится мириться.

pezzak Oct 17 2017 at 21:41

Разве? https://www.elastic.co/guide/en/x-pack/current/ldap-realm.html Другое дело, что оно по подписке работает

Vrenskiy Oct 17 2017 at 22:49

«2. Restart Elasticsearch» — При добавлении каких-то вещей рестартиться, а между тем на дворе 21век.

И удобного управления разграничением доступа к тем или иным логам я не увидел. В грейлоге же права на уровне дашбордов у которых очень гибкая система наполнения.
Мы больше 3-х месяцев ресёрчили вопрос. И наш выбор более чем осознанный.