9款日誌採集&管理工具對比，選型必備！

Filebeat是用於轉發和集中日誌數據的輕量級傳送程式。作為伺服器上的代理安裝，Filebeat監視您指定的日誌文件或位置，收集日誌事件，並將它們轉發到Elasticsearch或Logstash進行索引。

Filebeat的工作方式如下：啟動Filebeat時，它將啟動一個或多個輸入，這些輸入將在為日誌數據指定的位置中查找。對於Filebeat所找到的每個日誌，Filebeat都會啟動收集器。每個收集器都讀取一個日誌以獲取新內容，並將新日誌數據發送到libbeat，libbeat會彙總事件並將彙總的數據發送到您為Filebeat配置的輸出。

Graylog是一個開源的日誌聚合、分析、審計、展現和預警工具。功能上和ELK類似，但又比ELK要簡單，依靠著更加簡潔，高效，部署使用簡單的優勢很快受到許多人的青睞。

• 可視化能力是有限的，至少與ELK的Kibana相比是如此。

   

   

• 不能使用整個ELK生態系統，因為他們不能直接訪問Elasticsearch API。相反，Graylog有自己的API。

LogDNA是日誌管理領域的新成員。LogDNA可作為SaaS和內部使用，提供所有日誌基礎:通過syslog和HTTP(S)以及全文搜索和可視化，提供基於代理和無代理的日誌收集，並提供清晰且具有競爭力的價格。

ELK堆棧包含了日誌管理解決方案所需的大多數工具：

它在集中日誌方面非常流行，有很多關於如何在網路上使用它的教程。有一個龐大的工具生態系統，您可以在基本設置之上使用這些工具，通過警報、基於角色的訪問控制等來增強它。我們將在這篇博文中詳細介紹這些額外的附加功能，我們將在其中討論 Elastic Stack 功能的替代方案。

免費和開源。一些公司提供托管 ELK 的形式，見上文。還有 Elastic Cloud，它是雲中 ELK 的一種純粹形式，您主要需要自己管理。

Loki 及其生態系統是 ELK 堆棧的替代方案，但它做出了不同的權衡。通過僅索引某些欄位（標簽），它可以具有完全不同的架構。

也就是說，主要的寫入組件（Ingester）會將大量日誌保存在記憶體中，從而使最近的查詢速度更快。隨著塊變老，它們被寫入兩個地方：用於標簽的鍵值存儲（例如 Cassandra）和用於塊數據的對象存儲（例如 Amazon S3）。當您添加數據時，它們都不需要後臺維護（例如 Elasticsearch/Solr 需要合併）。

如果您查詢較舊的數據，您通常會按標簽和時間範圍進行過濾。這限制了必須從長期存儲中檢索的塊的數量。

Datadog 是一種 SaaS，最初是作為監控 (APM) 工具，後來還添加了日誌管理功能。

您可以通過 HTTP(S) 或 syslog，通過現有的日誌傳送器（rsyslog、syslog-ng、Logstash 等）或通過 Datadog 自己的代理髮送日誌。

它的特點是 Logging without Limits™，這是一把雙刃劍：更難預測和管理成本，但您可以獲得即用即付定價（見下文）以及您可以存檔和從存檔中恢復的事實。

現場不可用；一些用戶抱怨成本失控（由於定價靈活）；您可以設置每日處理配額

Logstash 是一個日誌收集和處理引擎，它帶有各種各樣的插件，使您能夠輕鬆地從各種來源攝取數據，將其轉換並轉發到定義的目的地。它與 Elasticsearch 和 Kibana 一起是 Elastic Stack 的一部分，這就是為什麼它最常用於將數據傳送到 Elasticsearch。

作為一個很好的 Logstash 替代品，Fluentd 是 DevOps 的最愛，特別是對於 Kubernetes 部署，因為它具有豐富的插件庫。與 Logstash 一樣，它可以將數據結構化為 JSON，並涉及日誌數據處理的所有方面：收集、解析、緩衝和輸出跨各種來源和目的地的數據。

Splunk 是最早的商業日誌集中工具之一，也是最受歡迎的。儘管它也作為服務提供 (Splunk Cloud)，但典型的部署是本地部署 (Splunk Enterprise)。您可以將日誌和指標發送到 Splunk 並一起分析它們。