A syslog problemaja az, hogy bar at tudja vinni a strukturalt adatot (semmi nem gatol meg abban, hogy pl JSON-t rakjal a szoveg reszbe, a'la CEE), nem hatekony. Nem fejtem most itt ki, hogy miert, mert van jobb dolgom is.
Hogy van-e igeny vagy sem: Greylog, LogStash, Kibana, es tarsaik. Mind-mind arra epitenek, hogy a strukturalatlan, ilyen-olyan, kesze-kusza logjaidbol valami ertelmeset, jobban strukturaltat es prezentalhatot epitsenek. A BalaBit egyes termekei is ezt celozzak meg. Egyiknek sem megy olyan rosszul, es igeny az bizony van ra. A gond az, es ezert halt el jopar probalkozas is, hogy nem lehet olyan semat talalni, ami mindenkinek jo. Megprobalt ezt a CEE is - beletort a bicskajuk. Megprobalta a Lumberjack is, az is elhalt. Megprobalta a maga modjan a Greylog es a LogStash + Kibana paros is, de ok is csak arra jutottak, hogy ha van valami strukturalt formad, akkor azzal mar lehet kezdeni valamit - altalanos nincs, es nem is lesz. Eddig viszont legalabb mar eljutottunk.
Igeny van ra, legalabbis fogyasztoi oldalon. Csak egyreszt ott van egy hatalmas adag legacy, amivel valamit kezdeni kell, igy nem lehet megszabadulni a regi logokat feldolgozo eszkozoktol. Ha pedig azok mar ott vannak eleve, akkor miert is szivassuk a fejlesztoket azzal, hogy ertelmesebb logokat kopessunk ki a programjaikbol? Megoldja majd a machine learning! A feldolgozasban ugyis tobb penz van. Masreszt ott van az, hogy a fejlesztonek nem erdeke a felhasznalo altal hasznalhato logok eloallitasa. Vajmi keves haszna van belole, akkor pedig minek?
EventLogrol nem tudok sokat, keveset dolgoztam vele - szerencsere. Nekem az remlik belole, hogy csoppet korulmenyes volt hasznalni, es mellesleg durvan lassu volt. Ez nem segiti elo a hasznalatat.
--
|8]