利用最新的开源软件构建日志管理系统

来源：http://yepeng.blog.51cto.com/3101105/966606

我们已经知道OSSIM是目前为数不多的几个开源的SIEM/安全管理平台之一，而目前还没有什么集成化的日志管理(LM)系统。

不过，只要你愿意，可以自己DIY一个日志管理系统，并且用到的都是最新的技术。

首先，你需要用logstash来采集日志。它的历史不长，但十分新潮，支持通过N种方式采集日志，并且支持N种方式输出日志。这是一个很棒的日志采集器。

当然，logstash还支持AMQP，因此，如果你打算做一个分布式采集器的话，可以考虑找一个AMQP与logstash结合起来用。

然后，LM的另一个核心是历史分析。你需要用到elasticsearch，它也很前沿，是又一个Lucene的衍生品。logstash能够很好的将日志提供给elasticsearch，让它来对日志进行历史存储和全文索引，并提供全文检索的WEB UI。

呵呵，如上所述，现在基本已经有了一个最新潮的LM架构了。

如果还觉得不够的话，那么就是希望能够做些实时分析的工作了。好吧，你可能需要graylog2。它的后台存储可以用MongoDB，并且日志过滤能力还行。

最后，所有这些集成的开源版LM能够替代商业化产品吗？至少你要考虑两个问题——性能和稳定性！当然，还有维护和调优的难度。