监控网络活动可能是一项乏味的任务，但这样做有充分的理由。首先，它可以帮助您查找和调查工作站、网络设备和服务器上的可疑登录，同时识别管理员滥用的来源。还可以跟踪软件安装和数据传输，以实时识别潜在问题。

这些日志还可以帮助公司遵守适用于欧盟境内任何实体的GDPR 《通用数据保护条例》。因为如果您的网站要在欧盟可见，则必须遵守GDPR。

日志记录（跟踪和分析）应该是任何监控基础设施中的一个重要过程。要从灾难中恢复SQL Server 数据库，需要事务日志文件。此外，通过跟踪日志文件，DevOps 团队和数据库管理员(DBA) 可以保持最佳数据库性能或在发生网络攻击时找到未经授权活动的证据。因此，定期监控和分析系统日志非常重要。

有相当多的开源日志跟踪器和分析工具可用，这使得为您的活动日志选择正确的资源比您想象的更容易。免费开源软件社区提供适用于各种站点和几乎任何操作系统的日志设计。我们推荐5款非常好用的开源日志分析工具。

Graylog

Graylog 于2011 年在德国创建，现在作为开源工具或商业解决方案提供。它被设计为集中式日志管理系统，接收来自不同服务器或端点的数据流，并允许用户快速浏览或分析该信息。

Graylog 由于其易于扩展性而在系统管理员中赢得了良好的声誉。大多数网络项目都是从小规模开始的，但可以呈指数级增长。 Graylog 平衡后端服务器网络上的负载，每天处理TB 级的日志数据。

IT 管理员会发现Graylog 的前端界面易于使用且功能强大。 Graylog 是围绕仪表板的概念构建的，它允许您选择您认为最有价值的指标或数据源，并快速查看一段时间内的趋势。

当发生安全或性能事件时，IT 管理员希望能够尽快从症状追溯到根本原因。 Graylog 中的搜索功能使这项工作变得容易。它具有内置容错功能，可以运行多线程搜索，因此您可以同时分析多个潜在威胁。

Nagios

Nagios 于1999 年成立，只有一名开发人员，现已发展成为管理日志数据的最可靠的开源工具之一。当前版本的Nagios 可以与运行Microsoft Windows、Linux 或Unix 的服务器集成。

其主要产品是日志服务器，旨在简化数据收集并使系统管理员更容易访问信息。 Nagios 日志服务器引擎将实时捕获数据并将其提供给强大的搜索工具。借助内置的安装向导，集成新的端点或应用程序变得非常容易。

Nagios 最常被需要监控本地网络安全的组织使用。它可以审核一系列与网络相关的事件并帮助您自动分发警报。 Nagios 甚至可以配置为在满足某些条件时运行预定义的脚本，从而允许您在人工介入之前解决问题。

作为网络审核的一部分，Nagios 将根据日志数据来源的地理位置来过滤日志数据。这意味着您可以使用地图技术构建全面的仪表板来了解网络流量的流动方式。

Elastic Stack （即 ELK Stack）

Elastic Stack，通常称为ELK Stack，是需要筛选大量数据并理解其系统日志的组织中最流行的开源工具之一（这是我个人的最爱）。

主要由以下三个独立产品组成：

顾名思义，*Elasticsearch* 旨在帮助用户使用各种查询语言和类型在数据集中查找匹配项。速度是这个工具的最大优势。它可以扩展到包含数百个服务器节点的集群，并轻松处理PB 级数据。 *Kibana* 是一款与Elasticsearch 一起运行的可视化工具，允许用户分析数据并构建强大的报告。当您第一次在服务器集群上安装Kibana 引擎时，您将看到一个显示统计数据、图形甚至动画的界面。 ELK Stack 的最后一部分是*Logstash*，它充当Elasticsearch 数据库的纯粹服务器端管道。您可以使用多种编码语言和API集成Logstash。这样，您网站和移动应用程序中的信息就可以直接输入到强大的Elastic Stalk 搜索引擎中。 ELK Stack 的一个独特功能是，它允许您监控基于开源版本WordPress 构建的应用程序。与大多数跟踪管理和PHP 日志（仅此而已）的开箱即用的安全审核日志记录工具相比，ELK Stack 可以过滤Web 服务器和数据库日志。

不良的日志跟踪和数据库管理是导致网站性能不佳的最常见原因之一。未能定期检查、优化和清除数据库日志不仅会降低站点速度，还可能导致完全崩溃。因此，ELK 堆栈对于每个WordPress 开发人员来说都是一个出色的工具包。

LOGalyze

LOGalyze 是一家总部位于匈牙利的组织，为系统管理员和安全专家构建开源工具，帮助他们管理服务器日志并将其转换为有用的数据点。其主要产品可供个人或商业用户免费下载。

LOGalyze 被设计为一个巨大的管道，其中多个服务器、应用程序和网络设备可以使用简单对象访问协议(SOAP) 方法提供信息。它提供了一个前端界面，管理员可以登录该界面来监控数据收集并开始分析数据。

在LOGalyze 的Web 界面中，您可以运行动态报告并将其导出为Excel 文件、PDF 或其他格式。这些报告基于LOGalyze 后端管理的多维统计数据。它甚至可以跨服务器或应用程序组合数据字段，以帮助您发现性能趋势。

LOGalyze 的安装和配置时间不到一个小时。其预构建的功能使其能够以法规要求的格式收集审计数据。例如，LOGalyze 可以轻松运行不同的HIPAA 报告，以确保您的组织遵守健康法规并保持合规性。

Fluentd

如果您组织的数据源位于许多不同的位置和环境，那么您的目标应该是尽可能集中它们。否则，您将难以监控性能并防范安全威胁。

Fluentd 是一个强大的数据收集解决方案，并且完全开源。它不提供完整的前端接口，而是充当集合层来帮助组织不同的管道。 Fluentd 被世界上一些最大的公司使用，但也可以在较小的组织中实施。

Fluentd 的最大好处是它与当今最常见的技术工具兼容。例如，您可以使用Fluentd 从Apache 等Web 服务器收集数据、从智能设备收集传感器数据以及从MongoDB 收集动态记录。您如何处理这些数据完全取决于您。

Fluentd 基于JSON 数据格式，可与著名开发人员创建的500 多个插件一起使用。这使您可以将日志数据扩展到其他应用程序，并以最少的手动工作执行更好的分析。

小结

如果出于安全考虑、政府合规性和生产力指标，您尚未使用活动日志，请务必进行更改。市场上有很多插件可以在各种环境和平台上使用，甚至可以在您的内部网络上使用。不要等到严重事件发生才采取主动方法来维护和监控日志。

关于作者Sam Bocetta 是一位退休的美国海军国防承包商、国防分析师和自由撰稿人。他专门寻找不可能的弹道问题的根本解决方案。目前主要关注物联网安全、加密、密码学、网络战和网络防御等领域的发展趋势。查看英文原文：5个好用的开源日志分析工具