Graylog: はじめに

Graylogの紹介と、その全体像について知っておくべきこと

👋 Stackheroのドキュメントへようこそ!

Stackheroは、数多くの利点を提供する、すぐに使えるGraylogクラウドソリューションを提供しています。

  • 無制限で専用のSMTP メールサーバーが含まれています。
  • ワンクリックで簡単にアップデート
  • HTTPSで保護されたカスタマイズ可能なドメイン名(例: https://logs.your-company.com)。
  • プライベートで専用のVMによる最適なパフォーマンスと強力なセキュリティ

時間を節約し、生活を簡素化:StackheroのGraylogクラウドホスティングソリューションを試すのに5分しかかかりません!

Graylogとは

Graylogは、エンジニアリングおよび運用チーム向けのオープンソースのログ管理プラットフォームです。インフラストラクチャ全体からログデータを一元的に収集・保存・検索・分析できる単一の場所を提供します。個々のサーバーにSSHで接続してログファイルを一つずつ確認する代わりに、すべてのログをGraylogに送信することで、リアルタイムでインデックス化され、数十億件のイベントでもミリ秒単位で横断的に検索できます。

このプラットフォームは、3つの主要な機能を中心に構築されています。まず、あらゆるソース(サーバー、アプリケーション、コンテナ、ネットワーク機器、クラウドサービスなど)から、Syslog、GELF、Beats、raw TCP/UDP、HTTPといった標準プロトコルを用いてログデータを収集します。次に、そのデータを組み込みのOpenSearchエンジンでインデックス化し、すべてのフィールドを即座にクエリ可能にします。最後に、Webインターフェースを通じてデータを分析します。ここでは全文検索、カスタマイズ可能なダッシュボード、アラートルール、リアルタイムでログイベントを強化・フィルタ・ルーティングできる処理パイプラインなどが利用できます。

Graylogを開発した企業

Graylogは2010年、ドイツ・ハンブルクでLennart Koopmannによって開発されました。当初は個人用の集中ログ管理ツールとして始まり、2012年にGELF(Graylog Extended Log Format)という名称でオープンソース化されました。すぐにDevOpsやインフラストラクチャのコミュニティで注目を集め、オープンソースのコアを基盤とした商用サービスを展開するためにGraylog, Inc.が設立されました。

本社は米国テキサス州ヒューストンにあり、ロンドンとハンブルクにもオフィスを構えています。これまでに多額のベンチャー資金を調達し、スタートアップから大企業、官公庁まで、世界中の数千の組織にサービスを提供しています。

Graylogの用途

Graylogは、エンジニアリングや運用チームによって幅広いシナリオで利用されています。最も一般的なユースケースは本番環境でのデバッグです。何か問題が発生した際、エンジニアは複数のサービスのログを同時に検索する必要があり、個々のマシンでファイルをgrepする必要はありません。Graylogなら、その検索が瞬時に行えます。

デバッグ以外にも、インフラ監視のために利用されます。エラー率の急増、サービスの応答停止、ログ内の異常パターンなどを検知するアラート条件を設定できます。セキュリティチームは監査・コンプライアンス目的で、認証試行やアクセスパターン、異常検知、GDPR・ISO 27001・SOC 2・HIPAAなどの要件に応じたログの保持に活用します。プラットフォームチームは、Webサーバー、データベース、ロードバランサー、Kubernetes Podなど異種システム間のイベントを相関分析し、単一のタイムラインで検索できるようにしています。

Graylogの仕組み

Graylogは、インフラとチームの間に位置する中央ハブとして機能します。Filebeat、Fluentd、rsyslog、またはネイティブのGELFクライアントライブラリなどのログシッパーが、システムからログデータを収集し、Graylogの入力エンドポイントに転送します。Graylogは、受信した各メッセージを設定可能なパイプラインで処理し、フィールドのパース、変換の適用、GeoIPデータやルックアップテーブルによるイベントの強化、適切なストリームへのルーティングなどをリアルタイムで実行します。

処理されたメッセージは、GraylogにバンドルされているOpenSearchによってインデックス化され、全文検索のワークロードを担います。MongoDB(こちらもバンドル済み)は、Graylogの設定情報(ストリーム、ダッシュボード、ユーザー、アラートルール、パイプライン定義など)を保存します。チームはGraylogのWebインターフェースを通じて、アドホック検索、ダッシュボード作成、アラート設定、インシデント調査などを行います。これにより、すべてのログデータを一元管理でき、大規模環境でもサブセカンドで検索が可能です。

Graylogは無料か

Graylogには2つのエディションがあります。Graylog Openはコミュニティエディションで、商用環境でも無料で利用できます。コアとなるログ管理機能(収集、インデックス化、検索、ダッシュボード、ストリーム、パイプライン、基本的なアラート)が含まれており、ソースコードはGitHubで公開されています。Graylog OperationsおよびGraylog Securityは商用エディションで、異常検知、コンプライアンスレポート、高度な相関ルール、エンタープライズサポートなどの機能が追加されています。

ライセンスに関する重要な注意点として、2023~2024年にGraylogのコアコードベースのライセンスがApache 2.0から**Server Side Public License(SSPL)**に変更されました。大多数のユーザー(自社のログ管理目的でGraylogを社内利用する企業)には、この変更による実質的な影響はありません。Graylog Openは引き続き無料で利用可能です。SSPLは主に、Graylogを第三者向けにホステッドサービスとして提供したい組織に影響します。Apache 2.0ライセンスが必要な場合、最後のApacheライセンス版はGraylog 5.0であり、5.1以降はSSPLとなります。

Graylogを使うべきタイミング

複数のサーバー、サービス、アプリケーションからのログを一元的に検索できるインターフェースが必要な場合、Graylogは最適なツールです。エンジニアが本番障害のデバッグのためにSSHで各マシンに接続している、あるいはインフラ全体のリアルタイムな可視性がない場合、Graylogがその課題を直接解決します。

また、ログパターン(エラーの急増、ログイン失敗、サービス停止など)に対するリアルタイムアラートや、コンプライアンス・監査目的でのログ保持が必要な場合にも有効です。複数のツールを組み合わせて運用する複雑さを避け、専用のログ管理UIを求めるチームに特に適しています。

Graylogを使うべきでない場合

Graylogはログ管理専用に設計されています。主なニーズが時系列メトリクス(CPU使用率、リクエストレイテンシ、メモリ消費量など)の保存・クエリである場合は、InfluxDBやPrometheusのような時系列データベースの方が適しています。Graylogはログイベントに最適化されており、高頻度の数値計測データには向いていません。

Graylogの優位性

Graylogには、ゼロからログ管理スタックを構築する場合と比べて、いくつかの大きなメリットがあります:

  1. オールインワン: OpenSearchとMongoDBがバンドルされ、事前に設定済み — 3つのサービスを個別にインストール・設定・運用する必要がありません。
  2. 強力な検索: 直感的なGraylog Query Language(GQL)を使い、数十億件のログイベントをミリ秒単位で全文検索できます。特別なクエリ構文の知識は不要です。
  3. ストリームとパイプライン: ログデータをリアルタイムでルーティング・変換可能 — ノイズのフィルタリング、フィールドの強化、特定イベントの特定宛先への送信もカスタムコード不要で実現。
  4. 組み込みアラート機能: アラート条件や通知(メール、Slack、PagerDutyなど)がGraylogに直接組み込まれており、別途アラートツールは不要です。
  5. ダッシュボード: GraylogのWeb UI上で直接ビジュアルダッシュボードを作成でき、GrafanaやKibanaのような別の可視化レイヤーは不要です。
  6. マルチプロトコル対応のインジェスト: Syslog、GELF、Beats、raw TCP/UDP、HTTPなど、ほぼすべての既存ログシッパーと互換性があります。

Graylog cloudとは

Graylog cloudは、オンプレミスインストールではなく、クラウドプロバイダーが提供するマネージドなGraylog環境を指します。Graylogをセルフホストする場合、Graylog本体・OpenSearch・MongoDBの3サービスを同時に運用し、アップデート・バックアップ・セキュリティを維持する必要があり、運用負荷は小さくありません。

Stackheroを利用すれば、専用のGraylogインスタンスをわずか2分で立ち上げることができます。OpenSearchとMongoDBも含まれ、事前に設定済みです。インスタンスは専用VM上で稼働し、共有インフラではないため、ログデータは完全に分離されます。TLS 1.3による暗号化接続、24時間ごとの自動バックアップ(最大3ヶ月保持)、ワンクリックでのアップデートも可能です。サーバーは米国とヨーロッパで利用でき、時間単位の課金なので、使った分だけ支払う形です。

Graylogの始め方

Graylogがプロジェクトに最適だと感じた場合、事前設定済みですぐに使えるマネージドインスタンスをワンクリックで試すことができます。2分以内で無料のデモインスタンスを開始し、手間なくGraylogを体験できます。テストに満足したら、本番運用向けインスタンスへのアップグレードも同様に簡単です。

Graylog cloudの詳細と無料での開始はこちらをクリックしてください。

Graylog に関するその他の記事

  1. はじめに
    Graylogの紹介と、その全体像について知っておくべきこと
  2. クイックスタート
    Graylogの使い始め方
  3. 入力タイプの選択
    適切なGraylog入力タイプの選び方
  4. 入力の設定
    Graylogの入力を設定する方法
  5. 保持期間の管理
    ログの保持期間を設定する方法
  6. アラート通知
    Graylogのアラートをメール、Slack、またはMattermostで送信する方法
  7. エンタープライズライセンス
    Graylog Enterpriseライセンスの取り扱い方法
  8. データマッピングの問題
    Graylogインデックスのデータマッピング問題の解決方法
  9. Node.jsでの利用方法
    Node.jsからGraylogへログを送信する方法
  10. Dot NET での利用方法
    .NET/Serilog から Graylog へログを送信する方法
  11. Pythonでの利用方法
    PythonからGraylogへログを送信する方法