创立于 2008 年 · 数字版 · 2026年6月15日

SMB IT Journal

面向小型企业的信息技术资源

中文
EnglishEspañolDeutsch中文ItalianoFrançaisPortuguêsNederlandsSvenskaNorskDanskРусский日本語한국어हिन्दीفارسیالعربيةPolski
家庭 IT 实践

在家做 IT:日志收集

2014年4月29日 · 6 分钟阅读

延续我这个让你的家庭更像一个正经企业环境的系列,这一次我想谈谈日志收集。我们在“在家做 IT:工单与监控”中已稍有触及,因为我在那里提到的 Spiceworks 会进行一定程度的 Windows 事件收集。不过那只是对这一主题非常浅显的处理,而一个认真的“在家做 IT 者”会想要更为强健、企业级的东西。

在过去十年间,企业级日志的收集、搜索与报告在以无处不在的 Splunk 为先锋的引领下,已真正从一个利基领域转变为一项核心 IT 工具。有许多产品有可能归入这一类别,其功能与强健程度各不相同。传统的“老派”日志系统往往落入以下几类:诸如 Spiceworks、Windows Event Collector 和 ManageEngine EventLog Analyzer 这样的 Windows 事件收集器。在 UNIX 世界和网络硬件领域,我们往往使用与 syslog 兼容的系统,例如 Rsyslog 和 Solarwinds Kiwi Syslog Server。但这些产品相当局限,它们非常专注于有限的平台,而且往往要么相当昂贵(Kiwi),要么缺乏良好的用户体验(Rsyslog)。在为你的家庭实验室做探索时,摆弄一下这些产品中的某些或许是有意义的。但要真正把你的日志收集提升到新的层次,我们就需要着眼于强健得多的平台,它们能处理所有这些数据源乃至更多,可扩展,并且其设计不仅围绕收集数据,还围绕让数据可搜索、可展示,并且但愿能让不只是骨灰级家庭系统管理员的更多人加以使用。

引领这一新一代日志收集系统潮流的是 Splunk。Splunk 主要是一款本地部署的专有软件包,但提供一个“免费”选项,对家庭 IT 爱好者而言通常堪称完美。免费版限制了每日日志摄取量,并且不支持多用户,而这对于家庭使用来说不太可能成为真正的绊脚石。摄取上限目前为每天 500MB,这是一个惊人的日志量。Splunk 明白他们的付费客户永远只会是拥有大量日志的较大型机构,因此把产品免费提供给小型机构和个人用户,实际上通过鼓励人们更广泛地体验和了解其产品而有助于他们的利润。Splunk 相对复杂,需要花一些功夫来搭建,但它极其强大且功能丰富。

Splunk 绝非本地日志处理领域唯一的玩家。在开源领域,围绕日志收集与报告涌现出一片活跃的景象,大多构建在 Elasticsearch 这一 NoSQL 数据平台之上,其中最关键的被称为“ELK”栈,指代三个主要组件:Elasticsearch、Logstash 和 Kibana。一种常见的替代方案是保留该栈,但将数据分析界面 Kibana 替换为同样开源的 Graylog2。ELK 或类似的栈提供了非常“类 Splunk”的功能,却没有 Splunk 的种种限制。如今 Splunk 无疑是企业更受欢迎的选择,但 ELK 正在认知度上取得长足进展,并且最常见于更具创新性的公司,例如科技初创企业、研究机构和大型托管服务商(Dreamhost 是一个著名的赞助商)。

着手一个本地日志管理项目,将为家里那些闲置的额外硬件提供一个绝佳的用武之地,并将带来更深入的系统管理经验,因为有更多的“服务器”需要管理和维护。与在企业中不同,在家做 IT 时,技术规模的铺开以及刻意选择更艰难的路径会带来显著的好处。我们正在主动寻求挑战,以及在家中运行、能产生真实价值的有意义的系统,而日志分析正是一个绝佳的增值切入点:它利用你的网络已经在生成的数据,并以一种方式把这些数据提供给你,让你更能在问题发生之前加以预判、在事后追查问题,并大幅提升安全性——了解你的网络上和设备中正在发生什么具有很大的价值,而手动解析 Windows 事件和 UNIX syslog 既枯燥又容易出错。查看图形化的数据则更有效、更可靠。而且日志平台还能基于日志事件发送告警。

本地日志管理并非唯一的选择。日志管理也以软件即服务(SaaS)的商业模式提供,有两个真正关键的玩家:通过其“Splunk Storm”服务的 Splunk,以及市场领导者 Loggly。这两家供应商都提供完全免费、容量受限的托管产品版本,其容量远超任何家庭 IT 用户的需求。这些服务让你能够在几分钟内启动并运行企业级日志管理,无需任何投入——无论是时间、金钱还是硬件。如果你的目标不太在于学习系统管理,而更纯粹地在于专注于良好的日志管理,或者你家里干脆没有那一架架促使你刻意在家中创建“额外” IT 服务的硬件,那么托管式日志管理很可能是适合你的正确选择。对于那些专注于开发、网络管理或 IT 其他领域的人来说,这很可能是更有用的选项。尤其是 Loggly,任何人都能轻松注册并开始发送日志数据,它是当今领先的托管式日志管理产品。

你的家庭网络变得越大、越活跃,良好的日志收集与管理就越有价值。日志能提供对你网络的深刻洞察,而一个良好的日志管理解决方案不仅能为你提供数据的高层视图,在替代你对实时日志数据的传统查看方式上也会很有用。从一个美观的 Web 界面着手工作,通常远比手动翻查日志更有效,即便是在查看当前事件时也是如此。而且一些日志管理解决方案还会为长期日志保留提供良好的设施,而这往往是非集中式解决方案所欠缺的。

良好的日志管理正迅速变得越来越重要,并成为企业中一项被预期的服务。五年前,即便是非常大型的企业尚未采用此类工具也很常见。而如今,人们想当然地认为任何具备合理规模的公司都会部署一套稳固、成熟的日志解决方案,几乎可以肯定是 Splunk;而随着 ELK 和 Loggly 的准入门槛越来越低,我们看到企业级日志收集正逐步渗透到越来越小的公司之中。在家做日志收集是一种极佳的方式,可以充实你的个人作品集、拓展你的知识与技能基础,并丰富你的简历。今天就开始做日志收集吧!

标签logging

广告

SMB IT Journal — the IT resource for small business

更多阅读.