目前市场上主流日志监控软件有哪些？应该如何选，技术对比分析分析？

厂商：国内可以参考日志易（优特捷），国外的splunk
自研或一般厂商，目前比较多的是基于ELK做平台封装，增加kfk、权限管理、spl查询、监控设置等可维护性、可管理的功能。其他方案上一位已经回答的比较全了。

以下经验主要基于ELK平台，使用的有日志易产品，也有自研平台

选型上，要评估自身的日志量和投入成本，低量级对厂商产品没有什么大的依赖，高量级就会涉及到es的调优能力和部署架构。
另一个会影响性能的，就是解析规则，大量的解析规则会导致性能消耗加剧，入库慢会导致监控失真。
其他可参考的，配置简易性、支持解析规则的设置能力、SPL支持能力、报表可视化、历史数据归档策略等。

1、可由运维人员自定义关键字
——日志平台的监控，一般条件都是周期性范围内出现关键字的次数，例如5分钟内出现ERROR数10次。基本上产品都是支持的
——为了支持更复杂的监控，一般会对一些字段做提取，比如通过正则表达式，提取出一些业务字段，可以做加减乘除、<>=等二次加工的条件
2、能适应不规则新生成的日志文件
——对于日志文件，可以对目录进行动态发现；但一般还是配置具体文件路径的比较多，例如/log/abc.YYYYMMDD，但也可以监控/log目录下的所有新日志
——对于日志内容，至少要设置换行条件，例如起始字符或结束/n，设置起始字符，可以将exception的输出合并在一条日志里，但对日志规范有些要求