Graylog: Introduzione

Introduzione a Graylog, tutto ciò che c'è da sapere

👋 Benvenuti nella documentazione di Stackhero!

Stackhero offre una soluzione Graylog cloud pronta all'uso che fornisce numerosi vantaggi, tra cui:

  • Server email SMTP illimitato e dedicato incluso.
  • Aggiornamenti senza sforzo con un solo clic.
  • Nome di dominio personalizzabile sicuro con HTTPS (ad esempio, https://logs.tua-azienda.com).
  • Prestazioni ottimali e sicurezza robusta grazie a una VM privata e dedicata.

Risparmia tempo e semplifica la tua vita: bastano 5 minuti per provare la soluzione Graylog cloud hosting di Stackhero!

Che cos'è Graylog

Graylog è una piattaforma open source per la gestione dei log che offre ai team di ingegneria e operations un punto unico per raccogliere, archiviare, cercare e analizzare i dati di log provenienti da ogni parte dell'infrastruttura. Invece di accedere via SSH ai singoli server per leggere i file di log uno per uno, tutti i log vengono inviati a Graylog, dove vengono indicizzati in tempo reale e resi ricercabili tra miliardi di eventi in pochi millisecondi.

La piattaforma si basa su tre funzionalità principali. Innanzitutto, raccoglie i dati di log praticamente da qualsiasi sorgente — server, applicazioni, container, dispositivi di rete, servizi cloud — utilizzando protocolli standard come Syslog, GELF, Beats, TCP/UDP raw e HTTP. In secondo luogo, indicizza questi dati in un motore OpenSearch integrato, rendendo ogni campo immediatamente interrogabile. Infine, analizza i dati tramite un'interfaccia web che offre ricerca full-text, dashboard personalizzabili, regole di alerting e pipeline di elaborazione in grado di arricchire, filtrare e instradare gli eventi di log in tempo reale.

L'azienda dietro Graylog

Graylog è stato creato nel 2010 da Lennart Koopmann ad Amburgo, in Germania. Il progetto è nato come uno strumento personale per la gestione centralizzata dei log ed è stato rilasciato come open source nel 2012 con il nome GELF (Graylog Extended Log Format). Ha rapidamente guadagnato popolarità nelle community DevOps e infrastrutturali, e Graylog, Inc. è stata fondata per sviluppare un'offerta commerciale attorno al core open source.

L'azienda ha sede a Houston, Texas, con uffici a Londra e Amburgo. Nel corso degli anni ha raccolto importanti finanziamenti da venture capital e oggi serve migliaia di organizzazioni in tutto il mondo, dalle startup alle grandi imprese e agenzie governative.

A cosa serve Graylog

Graylog viene utilizzato dai team di ingegneria e operations in una vasta gamma di scenari. Il caso d'uso più comune è il debug in produzione: quando si verifica un problema, gli ingegneri devono poter cercare tra i log di decine di servizi contemporaneamente, senza dover usare grep sui file di ogni singola macchina. Graylog rende questa ricerca istantanea.

Oltre al debug, i team utilizzano Graylog per il monitoraggio dell'infrastruttura — configurando condizioni di alert che si attivano quando aumentano i tassi di errore, i servizi smettono di rispondere o compaiono pattern insoliti nei log. I team di sicurezza lo usano per audit e compliance, tracciando tentativi di autenticazione, pattern di accesso e anomalie su tutto lo stack, e conservando i log per i periodi richiesti da GDPR, ISO 27001, SOC 2 e HIPAA. I team di piattaforma lo utilizzano per correlare eventi tra sistemi eterogenei — web server, database, load balancer, pod Kubernetes — in una singola timeline ricercabile.

Come funziona Graylog

Graylog si posiziona come hub centrale tra la vostra infrastruttura e il vostro team. I log shipper — Filebeat, Fluentd, rsyslog o le librerie client GELF native — raccolgono i dati di log dai vostri sistemi e li inoltrano agli endpoint di input di Graylog. Graylog elabora poi ogni messaggio in ingresso tramite pipeline configurabili che possono effettuare il parsing dei campi, applicare trasformazioni, arricchire gli eventi con dati geo-IP o tabelle di lookup e instradare i messaggi verso gli stream appropriati.

I messaggi elaborati vengono indicizzati da OpenSearch, incluso in Graylog, che gestisce il carico di lavoro della ricerca full-text. MongoDB, anch'esso incluso, memorizza la configurazione di Graylog — stream, dashboard, utenti, regole di alerting e definizioni delle pipeline. Il vostro team interagisce con tutto questo tramite l'interfaccia web di Graylog, dove può eseguire ricerche ad hoc, creare dashboard, configurare alert e investigare sugli incidenti. Il risultato è una vista unificata di tutti i vostri log, con ricerche in meno di un secondo anche su larga scala.

Graylog è gratuito?

Graylog è disponibile in due edizioni. Graylog Open è l'edizione community — gratuita, anche per l'uso in produzione. Copre le esigenze fondamentali di gestione dei log: raccolta, indicizzazione, ricerca, dashboard, stream, pipeline e alerting di base. Il codice sorgente è disponibile su GitHub. Graylog Operations e Graylog Security sono edizioni commerciali che aggiungono funzionalità come rilevamento delle anomalie, report di compliance, regole di correlazione avanzate e supporto enterprise.

Nota importante sulla licenza: tra il 2023 e il 2024, Graylog ha cambiato la licenza del suo core da Apache 2.0 a Server Side Public License (SSPL). Per la stragrande maggioranza degli utenti — aziende che utilizzano Graylog internamente per gestire i propri log — questo cambiamento non ha alcun impatto pratico. Potete continuare a usare Graylog Open gratuitamente. La SSPL riguarda principalmente le organizzazioni che desiderano offrire Graylog come servizio gestito a terzi. Se avevate bisogno specificamente della licenza Apache 2.0, l'ultima release con questa licenza è Graylog 5.0; le versioni 5.1 e successive sono sotto SSPL.

Quando usare Graylog

Graylog è lo strumento giusto quando il vostro team deve centralizzare i log di più server, servizi o applicazioni in un'unica interfaccia ricercabile. Se gli ingegneri stanno perdendo tempo ad accedere via SSH alle macchine per risolvere problemi in produzione, o se non avete visibilità in tempo reale su ciò che accade nella vostra infrastruttura, Graylog risolve direttamente questo problema.

È anche una scelta eccellente quando avete bisogno di alerting in tempo reale su pattern nei log — picchi di errori, login falliti, interruzioni di servizio — e quando dovete conservare i log per motivi di compliance o audit. Graylog è particolarmente indicato per i team che desiderano un'interfaccia di gestione dei log dedicata, senza la complessità di assemblare e mantenere più strumenti separati.

Quando non usare Graylog

Graylog è progettato specificamente per la gestione dei log. Se la vostra esigenza principale è archiviare e interrogare metriche time-series — utilizzo CPU, latenza delle richieste, consumo di memoria — un database time-series dedicato come InfluxDB o Prometheus sarà più adatto. Graylog è ottimizzato per eventi di log, non per le misurazioni numeriche ad alta frequenza che i database di metriche gestiscono in modo efficiente.

Cosa rende Graylog così valido

Graylog offre diversi vantaggi rispetto all'assemblaggio manuale di uno stack di gestione dei log:

  1. All-in-one: OpenSearch e MongoDB sono inclusi e preconfigurati — non è necessario installare, configurare e mantenere tre servizi separati.
  2. Ricerca potente: Ricerca full-text su miliardi di eventi di log in millisecondi, utilizzando il linguaggio di query Graylog (GQL) intuitivo, che non richiede conoscenze di sintassi avanzate.
  3. Stream e pipeline: Instradamento e trasformazione dei dati di log in tempo reale — filtrate il rumore, arricchite i campi e inviate eventi specifici a destinazioni specifiche senza scrivere codice custom.
  4. Alerting integrato: Condizioni di alert e notifiche via email, Slack, PagerDuty e altro sono integrate direttamente in Graylog — non serve uno strumento di alerting separato.
  5. Dashboard: Create dashboard visive direttamente nell'interfaccia web di Graylog, senza bisogno di un livello di visualizzazione separato come Grafana o Kibana.
  6. Ingest multi-protocollo: Accetta log tramite Syslog, GELF, Beats, TCP/UDP raw, HTTP e altro — compatibile con praticamente qualsiasi log shipper già presente nella vostra infrastruttura.

Che cos'è Graylog cloud

Graylog cloud si riferisce a un deployment gestito di Graylog fornito da un provider cloud, invece di un'installazione on-premises. L'auto-gestione di Graylog richiede l'esecuzione congiunta di tre servizi — Graylog stesso, OpenSearch e MongoDB — e mantenerli aggiornati, protetti e con backup rappresenta un onere operativo non trascurabile.

Con Stackhero, potete avere un'istanza Graylog dedicata operativa in soli 2 minuti. OpenSearch e MongoDB sono inclusi e preconfigurati. L'istanza viene eseguita su una VM dedicata — non su infrastruttura condivisa — così i vostri dati di log restano isolati. Le connessioni sono cifrate con TLS 1.3, i backup vengono eseguiti automaticamente ogni 24 ore e conservati fino a 3 mesi, e gli aggiornamenti sono disponibili con un solo clic. I server sono disponibili negli Stati Uniti e in Europa, con fatturazione oraria: pagate solo per ciò che utilizzate.

Come iniziare con Graylog

Se ritenete che Graylog sia la soluzione giusta per il vostro progetto, potete valutare una istanza gestita preconfigurata e pronta all'uso con un solo clic. Potete avviare una demo gratuita in meno di 2 minuti ed esplorare Graylog senza alcuna complicazione. Una volta soddisfatti dei test, l'upgrade a un'istanza pronta per la produzione è altrettanto semplice.

Clicca qui per saperne di più su Graylog cloud e avviarlo gratuitamente.

Altri articoli per Graylog

  1. Come iniziare
    Come iniziare con Graylog
  2. Scegliere i tipi di input
    Come scegliere il tipo di input Graylog più adatto
  3. Configurare gli input
    Come configurare gli input di Graylog
  4. Gestire la retention
    Come configurare la retention dei log
  5. Alerting
    Come inviare alert Graylog tramite email, Slack o Mattermost
  6. Licenza Enterprise
    Come gestire la licenza Graylog Enterprise
  7. Problemi di mapping dei dati
    Come risolvere i problemi di mapping dei dati degli indici Graylog
  8. Utilizzo con Node.js
    Come inviare i log da Node.js a Graylog
  9. Utilizzo con Dot NET
    Come inviare i log da .NET/Serilog a Graylog
  10. Utilizzo con Python
    Come inviare log da Python a Graylog