This talk compares Elastic Stack and Graylog with a strong focus on how they can be used for logmanagement.
The view on both toolsets is narrowed down to the essentials of logmanagement to get a more significant insight on how you can use them in this specific scenario.
The goal of this talk is helping you to chose which of these powerful stacks fits best to your specific logging needs. You will learn about their functionalities, handling, what you need to know and how much time you will have invest before you get a working solution.
17. Elastic Stack TransportElastic Stack Transport
SicherheitSicherheit
Beats, TCP Inputs -> Logstash TLS gesichert
Logstash -> Elasticsearch nicht TLS gesichert nur mit
X-Pack
Logstash API und Elasticsearch API nicht gesichert
(X-Pack nur für Elasticsearch)
Kibana Webfrontend nicht TLS gesichert nur mit X-
Pack
5 . 2
18. Graylog Transport SicherheitGraylog Transport Sicherheit
Beats, TCP -> Graylog TLS gesichert
Graylog -> Elasticsearch nicht gesichert (X-Pack)
Elasticsearch API nicht gesichert (X-Pack)
Graylog API und Webfrontend TLS gesichert
5 . 3
19. Elastic Stack Datenzugri mitElastic Stack Datenzugri mit
X-PackX-Pack
Kibana Benutzerauthenti zierung nur mit X-Pack
Rechte und Datenzugriffs-Verwaltung nur mit X-
Pack
Elasticsearch API mit Benutzerauthenti zierung nur
mit X-Pack
5 . 4
20. Graylog DatenzugriGraylog Datenzugri
Graylog Benutzerauthenti zierung mit AD/LDAP
Vollständige Rollen und Zugriffsberechtigungen auf
Dokumentenebene
Graylog API mit Benutzerauthenti zierung
5 . 5
23. Logstash Filter ExampleLogstash Filter Example
filter {
if "linux-syslog" in [tags] {
grok {
id => "syslog"
match => ["message","%{SYSLOG5424PRI}%{SYSLOGLINE}" ]
add_tag => "groked_syslog"
tag_on_failure => [ "_grokparsefailure", "syslog_failed" ]
overwrite => "message"
}
syslog_pri {
syslog_pri_field_name => "syslog5424_pri"
}
}
6 . 3
24. GraylogGraylog
Volle gra sche Kon gurationsober äche
Extraktoren direkt an den Inputs auf Felder möglich
Stream Filter (Dokumente sortieren und in Indices
verteilen)
Mehrstu ge Pipelines
6 . 4
34. Elastic StackElastic Stack
Unabhängige Instanzen
Unterschiedliche Kon guration, Text les / API
Kon g Sync / Management empfohlen
Drittanwendungen für Message Handling notwendig
8 . 2
35. GraylogGraylog
Geringer Kon gurations Aufwand
Einfacher Einstieg in die Datenaufbereitung
Administratives Wissen für Elasticsearch notwendig
Kein manuelles Management von Elasticsearch
notwendig
8 . 3
41. GraylogGraylog
Datenverarbeitung und Visualisierung in einem
sicheren Front/Backend
Fokussiert auf Logmanagement
Weniger Möglichkeiten zur Visualisierung
Keine Automatisierung allumfänglich möglich
10 . 3