機器數(shù)據(jù)，所有的設備，操作系統(tǒng)、硬件服務器、機房的感應器，包括你的應用，你的服務器，你的中間件所有產生的數(shù)據(jù)就是機器數(shù)據(jù)。

　　機器數(shù)據(jù)可以進行數(shù)據(jù)故障的分析，可以看到它的性能數(shù)據(jù)，同時機器數(shù)據(jù)還有安全審計、業(yè)務分析的能力。

　　安全審計主要是防止安全侵入尤其是遇到從外部的侵入時，這個機器數(shù)據(jù)是沒有用的

　　業(yè)務分析主要是從日志里面去把這些業(yè)務的一些關鍵信息，把它摳出來，一般都是放在數(shù)據(jù)庫里面去。在日志里面，把各個系統(tǒng)關聯(lián)起來之后，這部分其實是很重要的。

[[167520]]

　　日志，不是把它單純當做文件而是要把它當作一個消息來看。有價值的日志理解方式，應該是一條一條的消息。

　　因為未來，就算是不說云，單是應用系統(tǒng)是要跟我們的底層的基礎設施要接上的，那么未來我們的日志的看法就不會是文件，而是消息。

　　日志擁有的生命周期其實是很奇怪的，先記錄、傳輸、分析，然后再存儲，然后再刪除，實際上是這樣一個過程，其實很多公司也有這樣一個過程，隨著日志的不斷增加，由原來的周期慢慢演變?yōu)橛涗洝鬏?、存儲、刪除，但是卻沒有了分析。

　　同時日志的保存的期限是有嚴格的要求，把那些日志撈回來，再看里面的內容，其實是很少有這樣的一個回放的過程，而且也很痛苦。大量的日志內容往往很少能過全部閱覽完畢。甚至到***演變成了記錄、刪除這樣一個沒有任何作用的習慣性過程。

　　想要有效利用日志進行審計及分析數(shù)據(jù)，三無主義是***的選擇，沒有界面，沒有歸檔，沒有批量，就是不能批量去撈日志，沒有歸檔，也沒有一個直觀的日志的可視化的界面去看，但是在那樣的一個情況下，其實是分析日志數(shù)據(jù)最理想的狀態(tài)。

　　如何進行日志的管理，建議通過Nginx去做歸檔，定期的把日志備份到NAS，再從NAS到磁帶。有意義的日志的結構化是很有限的，結構化可以體現(xiàn)出日志告警，準確找出分析數(shù)據(jù)的異常。

　　日志進行結構化可以使日志分析的時候，都是做全功能檢索，列一條信息做全功能檢索，沒有什么索引，沒有什么統(tǒng)計，這樣便于數(shù)據(jù)的分析，不會使得日志數(shù)據(jù)分析痛苦不堪。

　　日志云后端，后端可以用開源解決所有的問題，這一系統(tǒng)的開發(fā)運維是很容易搞定，直接依照于開源組建的方式去它部署、安裝上去，但只是按照文檔，去安裝，去部署，去配置，但是我們沒有去做創(chuàng)造。

　　做一個企業(yè)級的日志查詢的綜合頁面,基本上后臺其實是可以和開源的所有組建進行吻合的, 日志查詢的綜合頁面它不僅是我們有一般的，就是檢索的柱狀圖、日期，還有一些趨勢分析，同時也會具備遠程去控制你的Heka，可視化的界面用過一段時間之后，有一些查詢的規(guī)則，它是沒有辦法通過這個界面直接搞定的，只能通過結構化進行關聯(lián)分析。

　　CEP是什么?日志的整個體系結構，完成后就基本上很豐滿了，能夠滿足我們現(xiàn)在互聯(lián)網(wǎng)金融的一個要求。整個CEP的關鍵字就是聯(lián)系不斷的，實時處理的數(shù)據(jù)，也就是之前說的日志，就是一條一條的事件。它的基礎檢索的數(shù)據(jù)量是很大的，你要存很多數(shù)據(jù)，你有很多數(shù)據(jù)來源，所以這個基礎數(shù)據(jù)很大。比如說，***面要去做一個判斷，就是說他判斷完這些基礎數(shù)據(jù)之后，要去做一個事情，要通過一個觸發(fā)器把它觸發(fā)，這個可能也是要很多計算資源的。