Nincs igazi kedvencem, de ha választani kellene log megoldást és kizárólag az IT szempontok érdekelnének (azaz a költségek és a támogathatóság nem érdekelne), akkor valószínűleg syslog-ng-t választanék a logok továbbítására és hezitálnék a splunk és a logstash között a tárolás/feldolgozás/elemzés témakörben (a splunk-ot ismerem és jó erre, a logstash-t meg nem ismerem, de jókat hallottam róla).
A sysklogd manapság sok dologra kevés. Túlságosan kötött, hogy csak a facility/priority párost használhatod a logsorok szűrésére, hiányzik belőle a syslogtag és/vagy message alapú szűrés. A gyakorlatban ezekre szükség van a különféle hülye programok konfigurálhatatlan logolási megoldásai körüli workaroundok építéséhez.
Az rsyslog hozzáértő kezekben valószínűleg a leggyorsabb logolási megoldás, ami nagyon menő dolog. Ezt javasolnám mindenhova, ahol kettő csilliárdnál több logsort kell kezelni másodpercenként, azaz úgy tizenhárom kutatóintézetnek az egész földön. Másoknak inkább nem ajánlanám a szoftvert, mert:
- a konfigformátuma _nagyon_ rossz (az új, 7-es verzióban is, csak ott máshogy), olvashatatlan és nagyon nehezen írható
- nincs használható dokumentáció a program architekturális felépítéséről
- az rsyslogban van egy rakás konkrét hiba (pl. a v5 verzió fájlok felolvasásakor logsorok felét elfelejti felolvasni meg hasonlók)
Ezen kívül előnyei az rsyslognak, hogy GPL, van rá support is, akár a RedHat-tól, akár a fejlesztő cégétől. A tapasztalat, hogy megoldáják a hibákat, de nagyon lassan.
A syslog-ng előnye, hogy teljesen baráti a konfigurációja és újabban a GPL változatban is megvan minden olyan feature, amire általában szükség van. Hátránya, hogy ha használod, akkor rád akarják sózni a fizetős változatot is, ami igazából nem kell. További hátránya, hogy a licenszelése miatt bizonyos háklisabb disztribúciókba nem kerülhet bele. Még hátránya, hogy erősebb akaratú fejlesztőcég van mögötte, mint az rsyslog mögött, így a fiztetős disztribúciók kevésbé szeretik, mert nem tudják arra hajlítani a fejleszőt, amerre szeretnék.
A többi logtovábbítót nem ismerem (még nxlog-gal találkoztam, az kb. egyesítette az eddig felsoroltak hibáit és adott nehzítésként egy rossz interfészt a programhoz).
Ha Windowsokat is akarunk belekavarni a dologba, akkor ott a Splunk a nyerő megoldás nagyjából mindenre - cserébe elég drága dolog. Ha logokat elemezni is akarunk, akko szintén a Splunk a király, de még mindig drága. Kíváncsi vagyok, hogy a logstash mennyivel jobb/rosszabb - szükség lenne alternatívára...