Logstash и Graylog - очень похожие части программного обеспечения. Они оба предназначены для того, чтобы получать данные журнала по сети и сохранять их в ElasticSearch, где они впоследствии могут быть получены веб-интерфейсом. Graylog2 имеет разумные стандартные настройки по умолчанию для большинства людей, в то время как Logstash предназначен для высокой степени программирования, а последняя вспомогательная версия (1.2) включает в себя достаточно функциональный язык конфигурации с полной поддержкой условий, как в nxlog на стороне клиента.
Что касается веб-интерфейсов, Logstash обычно использует Kibana, а Graylog2 поставляется со своим собственным веб-интерфейсом. Я рекомендую попробовать оба варианта и посмотреть, что вам больше нравится. Graylog2 требует меньше усилий, но Kibana невероятно мощнее с точки зрения того, что вы можете сделать с помощью пользовательских панелей отчетов.
Ввод журнала событий предназначен для локального запуска из агента Logstash, установленного на хосте Windows, для которого вы хотите собирать журналы. Поскольку агент Logstash написан на Java, а JVM может связывать огромный объем памяти, вы, вероятно, не захотите, чтобы он зависал, если в ваших системах не используется куча памяти. nxlog намного проще и отлично справляется с обработкой данных журнала событий Windows и передачей их в Logstash с использованием JSON или GELF. Синтаксис его конфигурации также намного более надежный и полнофункциональный, чем у Logstash, поэтому вам может быть проще выполнять сложные операции с журналами событий перед их пересылкой, например отфильтровывать журналы с шумом до того, как они попадут на сервер.
Logstash имеет CSV-фильтр, поэтому лучше всего отправлять необработанные данные журнала на сервер Logstash через сокет TCP или UDP и позволять ему вычислять данные. У nxlog может быть что-то похожее, но я никогда не искал его.
