关于日志采集的争论

     在SANS发布了2011年日志管理调查报告后，立即在业界引发了一场关于日志管理的最大挑战到底什么的大讨论。针对报告提出的日志管理的最大挑战已经不再是日志采集，而转向分析、检索的观点，很多业内人士表达了不同观点。尤其指出由于这份报告的sponsor的身份，存在误导的嫌疑。很多人表示，日志采集依然是日志管理的重大挑战。

    具体而言，就是如何采集日志的问题。目前，业界存在两种方法论：1）log erverything；2）log what you need。但是每种方式都存在其不少问题，因而双方各执一词，很难说服对方。DarkReading上有一篇关于这些争论的业内人士的观点摘录。

    关于这个问题，也是我们自己的产品规划的时候需要明确的，重要的不是采取哪种方法，而是要采取一种方法。如何取舍？我认为跟用户使用场景相关，后面我会表达我个人的观点。