А тут ктото грейлог пользует?

пробовали, не особо взлетело :( оно же не алертит, ну и заходить в то что не особо жалуется - смысл?

ну алерты в нем есть, но он нам дорог не для этого:)

Тогда в чём вопрос? Не совсем уловил суть

ну бестпрактис ищу. пока оно собирает у меня все в кашу, а работать как с ним, так и не понял

Бест практис нет, т.е. абсолютно универсального решения не существует, Вам нужно просто определить моменты, которые Вы хотите фиксировать или логировать, но это всегда будет уникально, т.к. у Вас один мониторинг на безопасность, у нас другой, оч сложно подсказать, исходите из своих возможностей, в т.ч. финансовых

оке, я чуть криво выразился. что логировать понимаю. даже вроде логирует (правда пока просто текстом, без полей). а вот как потом в этой каше нормально искать пока не понял. грубо говоря пример: у меня есть 4 почтовых сервера: два торчат наружу (допустим @a.com @b.com) и два внутри, с базами и с котороми работает народ, и вот, человек со внутреннего сервера пишет письмо (с @a.com) на @b.com. это письмо проходит через все 4 сервера

Вопрос понял, Вам нужно разобраться с фильтрами в graylog, т.к. как я понял у Вас открывается сайт с логами, но сложно в них ориентироваться. Попробуйте в строке поиска задать имя домена, ну типа DC или как у Вас домены называются, дальше прост дополнять

да, у меня просто 4 текстовых лога на разных хостах. получается, грепаешь нужную информацию на одном, смотришь что и ку, потом на втором - видишь что куда ушло и како ответил внешний сервер. ну вот я и ищу "картинки" того что и как настраивали.