Здравствуйте, Mamut, Вы писали:

M> AB>В over 99% случаев никаких других инструментов нет (и в принципе не планируется).
M> Не планируется чаще всего именно из-за «не знаю и знать не хочу, в консоли эффективнее»

Нет, не так. Не планируется потому что это VPS с 512MB RAM, или какая-нибудь древняя CentOS/FreeBSD. Не планируется потому что на конкретном инстансе это редкая операция — раз в год потратить немного времени, посчитать нужные вещи и забыть еще на год. Не планируется потому что мне быстрее в консоли, а кроме меня это вообще никому не нужно (наиболее частый вариант).

За все время мне пришлось всего один раз установить kibana, в нее заглядывает один человек, который не использует ни одного отчета/дашборда/etc — т.е. просто смотрит логи через веб вместо ssh.

M> AB>1) Их надо устанавливать, настраивать, обслуживать, тратить на них железные ресурсы и т.д. — на малых инсталляциях это нецелесообразно, на больших есть сомнения в том, что они справятся с нагрузками.
M> Вижу Кибану на 10 000 запросов в день. Маленькая инсталляция. Справляется
M> Видел Splunk на ~1 500 000 запросов в день (общее количество логов там было гигабайтами, потому что был бардак в логах разных подсистем, много информации дублировалось, ~150 логов в целом). Видимо, большая инсталляция. Справлялся на ура.

В том месте, где я бы мог ей найти полезное применение, мне нужно работать с объемами логов порядка 2-5TB в сутки. Предполагаю, что индекс будет раза в 3 больше по размеру — т.е. дополнительный сервер, полки к нему и не известно полетит оно или нет — цена эксперимента достаточно высока, а опыт подсказывает, что чудес не бывает.

M> AB>3) Все же это системы немного другого назначения и в консоли найти ответ чаще будет быстрее, нежели мышковозить сочиняя очередной фильтр на один раз.
M> Кто сказал про мышковозить? Ах, ты сказал, не я. В Спланке, например, мощнейший язык запросов. Ты замучаешься в консоли «быстрее» составлять запросы с использованием убогих консольных утилит. Особенно если учесть, что для подавляющего большинства логов он уже знает про то, какие поля есть в этом логе и достаточно сделать, например

На данный момент возможности консольных утилит меня более чем устраивают. Что же касается приведенного примера с "языком запросов" — оно все прикольно ровно до определенного момента (пока логи имеют поля, пока требуется относительно тривиальные выборки и т.д.), дальше берем в руки awk/sed/grep-подобный скальпель и занимаемся художественным выпиливанием.

P.S. У данных продуктов есть своя ниша, где они будут "на своем месте", но для моих задач в большинстве случаев они не подходят.