Logstash та Graylog - це дуже схожі програми. Обидва вони розроблені для передачі даних журналу по мережі та зберігання їх у ElasticSearch, де їх можна пізніше отримати веб-інтерфейсом. Graylog2 розроблений таким чином, щоб мати більш значущі стандартні настройки за замовчуванням для більшості людей, тоді як Logstash призначений для програмування, а остання незначна версія (1.2) включає досить функціональну мову конфігурації з повною підтримкою умовних умов, як, наприклад, nxlog на стороні клієнта.
Що стосується веб-інтерфейсів, Logstash зазвичай використовує Kibana, тоді як Graylog2 постачається із власним веб-інтерфейсом. Моя рекомендація - спробувати обидва, і побачити, що вам більше подобається. Graylog2 потребує менших розробок, але Kibana є абсурдно більш потужним в плані того, що ви можете зробити зі спеціальними інформаційними панелями звітів.
Вхід eventlog призначений для запуску локально від агента Logstash, встановленого на хості Windows, на який потрібно збирати журнали. Оскільки агент Logstash написаний на Java, а JVM може зв'язати величезну кількість пам'яті, ви, мабуть, не хочете, щоб він звисав, якщо у вас не буде купа пам'яті, що плаває навколо ваших систем. nxlog - це набагато швидше і виконує велику роботу, витягуючи дані журналу подій Windows та пересилаючи їх у Logstash за допомогою JSON або GELF. Його синтаксис конфігурації також набагато більш надійний і повнофункціональний, ніж Logstash, тому вам може бути легше робити складні речі з журналами подій, перш ніж пересилати їх, як фільтрувати шумні журнали, перш ніж вони потраплять на сервер.
У Logstash є CSV-фільтр, тож найкраще поставити лише подати необроблені дані журналу на сервер Logstash через сокет TCP або UDP і нехай він розбирає дані. nxlog може мати функціональність, щоб зробити щось подібне, але я ніколи цього не шукав.