關于日志采集的争論

在SANS釋出了2011年日志管理調查報告後，立即在業界引發了一場關于日志管理的最大挑戰到底什麼的大讨論。針對報告提出的日志管理的最大挑戰已經不再是日志采集，而轉向分析、檢索的觀點，很多業内日志表達了不同觀點。尤其指出由于這份報告的sponsor的身份，存在誤導的嫌疑。很多人表示，日志采集依然是日志管理的重大挑戰。

具體而言，就是如何采集日志的問題。目前，業界存在兩種方法論：1）log erverything；2）log what you need。但是每種方式都存在其不少問題，因而雙方各執一詞，很難說服對方。DarkReading上有一篇關于這些争論的業内人士的觀點摘錄。

關于這個問題，也是我們自己的産品規劃的時候需要明确的，重要的不是采取哪種方法，而是要采取一種方法。如何取舍？我認為跟使用者使用場景相關，後面我會表達我個人的觀點。