AB>В over 99% случаев никаких других инструментов нет (и в принципе не планируется).

Не планируется чаще всего именно из-за «не знаю и знать не хочу, в консоли эффективнее»

M>> Как только появляется Kibana или Splunk, ВНЕЗАПНО про консоль уже никто никогда не вспоминает.
AB>1) Их надо устанавливать, настраивать, обслуживать, тратить на них железные ресурсы и т.д. — на малых инсталляциях это нецелесообразно, на больших есть сомнения в том, что они справятся с нагрузками.

Define: маленький
Define: большой
Define: сомнения

Вижу Кибану на 10 000 запросов в день. Маленькая инсталляция. Справляется
Видел Splunk на ~1 500 000 запросов в день (общее количество логов там было гигабайтами, потому что был бардак в логах разных подсистем, много информации дублировалось, ~150 логов в целом). Видимо, большая инсталляция. Справлялся на ура.

AB>2) Они имеют ограничения в плане того, на какое количество вопросов они могут ответить (а вопросы бывают самые разные).

Этих ограничения намного меньше, чем у консоли. Любые вопросы, что ты можешь задать в консоли тот же Splunk сможет задать и ответить на них в разу лучше.

AB>3) Все же это системы немного другого назначения и в консоли найти ответ чаще будет быстрее, нежели мышковозить сочиняя очередной фильтр на один раз.

Кто сказал про мышковозить? Ах, ты сказал, не я. В Спланке, например, мощнейший язык запросов. Ты замучаешься в консоли «быстрее» составлять запросы с использованием убогих консольных утилит. Особенно если учесть, что для подавляющего большинства логов он уже знает про то, какие поля есть в этом логе и достаточно сделать, например

source=<log-group-name> <fieldname>=<value>  ## нашли только строчки там, где fieldname=value
| fields a, b, c           ## взяли только поля a, b, c
| where a > 10       ## отфильтровали
| ... 
| ...         ## дальше усложняем, как хотим
| ...
| ...
| ...
| ...