CentOS централизовал вход, syslogd, rsyslog, системный-журнал-ng, logstash отправитель?
Необходимо будет перезапустить сервисный процесс IIS, чтобы заставить это обновлять, я боюсь. Глобальная среда наследована, когда процесс запускается и для большинства приложений единственный способ добраться, это для обновления должно перезапустить процесс. Это - боль, но по крайней мере это - что-то, что можно запланировать.
Я бы сказал, что лучший надежный вариант на данный момент (за исключением коммерческих программных решений) - это чистый syslog-ng
До недавнего времени мы использовали rsyslog с graylog для централизованного ведения журнала. Это сработало очень и очень хорошо. При этом используется протокол GELF, который также имеет преимущество наличия библиотек на различных языках программирования.
При этом мы переходим на Loggly , поскольку это дешевле, чем поддерживать наш собственный централизованный сервер регистрации. Поскольку Loggly рекомендует syslog-ng, мы оцениваем возможность перехода на него, хотя rsyslog кажется немного лучше - например. Рецепты rsyslog для таких вещей, как кэширование журналов при потере сети и поддержка GELF.
Я думаю, что лучшим является syslog-ng, простой в настройке, очень простой в обслуживании, красивый и мощный инструмент. Кстати, если у вас не более 500 миллионов журналов в день, вы можете заглянуть в splunk, все, что вам нужно, это добавить сервер пересылки журналов в образ машины и настроить несколько файлов, это будет работать как волшебство :) В нем много приложение для разных типов журналов, красивый парсинг и т. д. Все зависит от того, что вам нужно.
Недавний rsyslog, вероятно, будет одним из самых быстрых и легких вариантов. Вы получаете дисковые буферы и буферы памяти бесплатно, а также можете выводить данные в Elasticsearch через omelasticsearch . Вот сообщение в блоге, которое может помочь вам начать что-то вроде этого:
http://blog.sematext.com/2013/07/01/recipe-rsyslog-elasticsearch-kibana/