日志收集安装配置

日志收集是将服务器的实时活动变化状态所产生的日志收集起来，并对收集之后的日志进行处理和分析。wazuh的日志收集过程：

①代理端配置文件上设置需要收集的日志文件，比如secure、message这些日志；

②代理端不做日志处理和分析，直接将原始的日志发送到管理端上面；

③管理端接收到代理端的日志之后，根据内置的解码和规则处理，或者自定义的解码和规则处理，将日志解析成log格式或者json格式，保存到管理端服务器本地上面；

④使用filebeat、logstash或者splunk forward等日志转发工具，将日志发送到elasticsearch或者splunk这些存储日志管理系统上面进行保存；

⑤由于收集到的日志非常多，需要对日志内容进行可视化处理和分析，就用到了kibana、grafana、splunk web等可视化管理平台。

所以这些一套流程下来，代理端的性能损耗是非常少的，主要性能损耗在管理端服务器和日志管理服务器上面。