ログ管理・ログ監視システムとは、サーバのOSやアプリケーションのログ、ネットワーク機器のログなどを収集し、監視する方法です。ログは、問題の発見にも使いますが、問題の解析にも必要であるため、その両方を考慮して監視ソフトウェアを選ぶ必要があります。
統合監視ソフトウェアでは、ログ管理、ログ監視を含むすべての機能を持ったものも少なくありません。しかし、現実的には、すべての機能を一つのサーバ機器で行うことは好ましくありません。なぜなら、障害発生時はログが大量に出力される場合があり、ログ監視とサービス監視を一緒に行っていると、監視サーバがログの受信や解析で過負荷になり、通知が遅れるなどの原因になってしまうからです。そのため、用途によって複数の監視ソフトウェアを使い分けるのが懸命です。
SyLASは、デージーネットが作成したオープンソースのログ管理ソフトウェアです。rsyslogのログ通知機能を使って、ログの文字列をチェックし、メールで通知を送ることができます。また、ログを全文検索エンジンのElasticsearchに保管し、ログを高速に検索することができます。国産ソフトウェアですので、WEB画面は日本語表記です。
Graylogは、SyLASと同様にElasticsearchやOpenSearchにログを保管し、高速検索することができる統合型のログ管理ソフトウェアです。Graylog4.3より、Elasticsearch7.11以降のバージョンはサポートされないため、Graylog4.3以降は、OpenSearchの利用を推奨しています。
Graylogは非常に高機能なソフトウェアで、ユーザによって管理できるログを変えられたり、解析結果をグラフで可視化することができます。解析方法をあらかじめ定義して監視コンソールを作成することができるのも便利です。単体でsyslogサーバとして動作させることもできますし、HTTPやFTPなどのプロトコルでログを収集することもできます。あらかじめ、多数のネットワーク機器のログフォーマットに対応した解析パターンを用意しているのも特徴です。
ただし、画面の表示は英語です。コミュニティは他国語対応をしないと表明しています。そのため、デージーネットでは日本語の利用者マニュアルを公開しています。
OpenObserveとは、ログの全文検索エンジンとフロントエンドUIを兼ね備えたログ管理ソフトウェアです。OpenObserveは、140倍のストレージコスト効率や高パフォーマンスとうたわれており、他のソフトウェアと比べ、ストレージ効率が良いという特徴があります。ElasticsearchやSplunkやDatadogを意識して開発されています。Elasticsearchとは互換性があり、既存のElasticsearchツールとクエリを引き続き使用することが可能です。
OpenObserveは、データの圧縮率が非常に高く、デージーネットで調査したところ、データを元のデータから約18分の1のサイズに圧縮して保存することができます。また、ログの検索にも特化しており、専用のインターフェイスを使用して、サーバ、仮想マシン、コンテナを可視化することができます。OpenObserveは、高い圧縮率でデータを保管するため、CPUコストを抑えることができ、コストをあまりかけられないが大量のログの保管が必要なシステムに適しています。
rsyslogは、多くのLinuxディストリビューションで利用されているsyslogサーバのソフトウェアです。rsyslogには、ログの文字列をチェックし、必要に応じてメールで通知する機能が標準で備わっています。そのため、特別なソフトウェアを導入しなくても、ログ監視を行うことができます。
syslog-ngも、rsyslogと同様にいくつかのLinuxディストリビューションで採用されているsyslogサーバのソフトウェアです。柔軟なフィルタリング機能や設定オプションなどが用意されているのが特徴です。syslog-ngにも、ログの文字列をチェックし、必要に応じてプログラムを起動する機能があります。この機能を使って、メールで通知を行うことができます。
swatchは、Simple log Watcherの略で、シンプルなログ監視機能を提供するツールです。正規表現に一致する行があった時にコマンドを実行することができます。この機能を使って、メール通知を行うことも可能です。