機器數據，所有的設備，操作系統、硬件服務器、機房的感應器，包括你的應用，你的服務器，你的中間件所有產生的數據就是機器數據。

　　機器數據可以進行數據故障的分析，可以看到它的性能數據，同時機器數據還有安全審計、業務分析的能力。

　　安全審計主要是防止安全侵入尤其是遇到從外部的侵入時，這個機器數據是沒有用的

　　業務分析主要是從日志里面去把這些業務的一些關鍵信息，把它摳出來，一般都是放在數據庫里面去。在日志里面，把各個系統關聯起來之后，這部分其實是很重要的。

[[167520]]

　　日志，不是把它單純當做文件而是要把它當作一個消息來看。有價值的日志理解方式，應該是一條一條的消息。

　　因為未來，就算是不說云，單是應用系統是要跟我們的底層的基礎設施要接上的，那么未來我們的日志的看法就不會是文件，而是消息。

　　日志擁有的生命周期其實是很奇怪的，先記錄、傳輸、分析，然后再存儲，然后再刪除，實際上是這樣一個過程，其實很多公司也有這樣一個過程，隨著日志的不斷增加，由原來的周期慢慢演變為記錄、傳輸、存儲、刪除，但是卻沒有了分析。

　　同時日志的保存的期限是有嚴格的要求，把那些日志撈回來，再看里面的內容，其實是很少有這樣的一個回放的過程，而且也很痛苦。大量的日志內容往往很少能過全部閱覽完畢。甚至到***演變成了記錄、刪除這樣一個沒有任何作用的習慣性過程。

　　想要有效利用日志進行審計及分析數據，三無主義是***的選擇，沒有界面，沒有歸檔，沒有批量，就是不能批量去撈日志，沒有歸檔，也沒有一個直觀的日志的可視化的界面去看，但是在那樣的一個情況下，其實是分析日志數據最理想的狀態。

　　如何進行日志的管理，建議通過Nginx去做歸檔，定期的把日志備份到NAS，再從NAS到磁帶。有意義的日志的結構化是很有限的，結構化可以體現出日志告警，準確找出分析數據的異常。

　　日志進行結構化可以使日志分析的時候，都是做全功能檢索，列一條信息做全功能檢索，沒有什么索引，沒有什么統計，這樣便于數據的分析，不會使得日志數據分析痛苦不堪。

　　日志云后端，后端可以用開源解決所有的問題，這一系統的開發運維是很容易搞定，直接依照于開源組建的方式去它部署、安裝上去，但只是按照文檔，去安裝，去部署，去配置，但是我們沒有去做創造。

　　做一個企業級的日志查詢的綜合頁面,基本上后臺其實是可以和開源的所有組建進行吻合的, 日志查詢的綜合頁面它不僅是我們有一般的，就是檢索的柱狀圖、日期，還有一些趨勢分析，同時也會具備遠程去控制你的Heka，可視化的界面用過一段時間之后，有一些查詢的規則，它是沒有辦法通過這個界面直接搞定的，只能通過結構化進行關聯分析。

　　CEP是什么?日志的整個體系結構，完成后就基本上很豐滿了，能夠滿足我們現在互聯網金融的一個要求。整個CEP的關鍵字就是聯系不斷的，實時處理的數據，也就是之前說的日志，就是一條一條的事件。它的基礎檢索的數據量是很大的，你要存很多數據，你有很多數據來源，所以這個基礎數據很大。比如說，***面要去做一個判斷，就是說他判斷完這些基礎數據之后，要去做一個事情，要通過一個觸發器把它觸發，這個可能也是要很多計算資源的。