Graylog: Įvadas

Įvadas į Graylog – viskas, ką reikia žinoti

👋 Sveiki atvykę į Stackhero dokumentaciją!

Stackhero siūlo paruoštą naudoti Graylog cloud sprendimą, kuris suteikia daugybę privalumų, įskaitant:

  • Įtrauktas neribotas ir dedikuotas SMTP el. pašto serveris.
  • Lengvi atnaujinimai vienu paspaudimu.
  • Pritaikomas domeno vardas, apsaugotas HTTPS (pavyzdžiui, https://logs.jusu-imone.com).
  • Optimali veikla ir tvirta sauga, užtikrinta privačia ir dedikuota VM.

Taupykite laiką ir supaprastinkite savo gyvenimą: tereikia 5 minučių, kad išbandytumėte Stackhero Graylog cloud hosting sprendimą!

Kas yra Graylog

Graylog yra atvirojo kodo žurnalų (log) valdymo platforma, suteikianti inžinerijos ir operacijų komandoms vieną centralizuotą vietą rinkti, saugoti, ieškoti ir analizuoti žurnalų duomenis iš visos infrastruktūros. Vietoje to, kad jungtumėtės per SSH prie kiekvieno serverio ir skaitytumėte žurnalų failus po vieną, visus žurnalus siunčiate į Graylog, kur jie indeksuojami realiu laiku ir tampa ieškomi per milisekundes net tarp milijardų įvykių.

Platforma paremta trimis pagrindinėmis funkcijomis. Pirma, ji renka žurnalų duomenis praktiškai iš bet kokio šaltinio – serverių, aplikacijų, konteinerių, tinklo įrenginių, debesijos paslaugų – naudodama standartinius protokolus, tokius kaip Syslog, GELF, Beats, raw TCP/UDP ir HTTP. Antra, ji indeksuoja šiuos duomenis į integruotą OpenSearch variklį, todėl kiekvienas laukas tampa iškart užklausiamas. Trečia, ji analizuoja duomenis per žiniatinklio sąsają, kuri apima pilno teksto paiešką, pritaikomus prietaisų skydelius (dashboards), įspėjimų taisykles ir apdorojimo pipelines, galinčius praturtinti, filtruoti ir nukreipti žurnalų įvykius realiu laiku.

Įmonė už Graylog

Graylog sukūrė Lennart Koopmann 2010 m. Hamburge, Vokietijoje. Projektas prasidėjo kaip asmeninis įrankis centralizuotam žurnalų valdymui ir 2012 m. buvo atviro kodo pavidalu išleistas kaip GELF (Graylog Extended Log Format). Jis greitai išpopuliarėjo DevOps ir infrastruktūros bendruomenėse, o Graylog, Inc. buvo įkurta siekiant sukurti komercinį pasiūlymą aplink atvirojo kodo branduolį.

Įmonės būstinė yra Hiustone, Teksase, su biurais Londone ir Hamburge. Per metus ji pritraukė reikšmingų rizikos kapitalo investicijų ir šiuo metu aptarnauja tūkstančius organizacijų visame pasaulyje – nuo startuolių iki didelių įmonių ir valstybinių agentūrų.

Kam naudojamas Graylog

Graylog naudoja inžinerijos ir operacijų komandos įvairiose situacijose. Dažniausias atvejis – problemų šalinimas gamyboje: kai kažkas sugenda, inžinieriams reikia ieškoti žurnaluose iš dešimčių paslaugų vienu metu, o ne naršyti failus kiekviename serveryje atskirai. Graylog leidžia atlikti tokią paiešką akimirksniu.

Be problemų šalinimo, komandos naudoja Graylog infrastruktūros stebėsenai – nustatydamos įspėjimus, kurie suveikia, kai padidėja klaidų dažnis, paslaugos nustoja atsakyti ar žurnaluose atsiranda neįprasti modeliai. Saugumo komandos naudoja jį auditui ir atitikties užtikrinimui – stebėdamos autentifikacijos bandymus, prieigos modelius ir anomalijas visoje sistemoje, taip pat saugodamos žurnalus laikotarpiams, kurių reikalauja GDPR, ISO 27001, SOC 2 ir HIPAA. Platformų komandos naudoja Graylog įvykių koreliacijai tarp skirtingų sistemų – žiniatinklio serverių, duomenų bazių, apkrovos balansavimo įrenginių, Kubernetes podų – į vieną ieškomą laiko juostą.

Kaip veikia Graylog

Graylog veikia kaip centrinis mazgas tarp jūsų infrastruktūros ir komandos. Žurnalų siuntėjai – Filebeat, Fluentd, rsyslog ar natyvios GELF kliento bibliotekos – surenka žurnalų duomenis iš jūsų sistemų ir persiunčia juos į Graylog įvesties taškus. Graylog tada apdoroja kiekvieną gaunamą žinutę per konfigūruojamus pipelines, kurie gali išskaidyti laukus, taikyti transformacijas, praturtinti įvykius geo-IP duomenimis ar lentelėmis ir nukreipti žinutes į atitinkamus srautus (streams).

Apdorotos žinutės yra indeksuojamos OpenSearch, kuris yra komplektuojamas su Graylog ir atlieka pilno teksto paieškos užduotis. MongoDB, taip pat įtrauktas, saugo Graylog konfigūraciją – srautus, prietaisų skydelius, naudotojus, įspėjimų taisykles ir pipelines apibrėžimus. Jūsų komanda su visa šia sistema dirba per Graylog žiniatinklio sąsają, kur gali vykdyti ad hoc paieškas, kurti prietaisų skydelius, konfigūruoti įspėjimus ir tirti incidentus. Rezultatas – viena valdymo panelė visiems jūsų žurnalų duomenims, su paieška, trunkančia mažiau nei sekundę net dideliu mastu.

Ar Graylog yra nemokamas

Graylog siūlomas dviejose versijose. Graylog Open yra bendruomenės leidimas – nemokamas naudoti, įskaitant gamybinę aplinką. Jis apima pagrindinius žurnalų valdymo poreikius: rinkimą, indeksavimą, paiešką, prietaisų skydelius, srautus, pipelines ir bazinius įspėjimus. Programinis kodas prieinamas GitHub. Graylog Operations ir Graylog Security yra komerciniai leidimai, kurie prideda tokias funkcijas kaip anomalijų aptikimas, atitikties ataskaitos, pažangios koreliacijos taisyklės ir įmonių palaikymas.

Svarbus licencijavimo aspektas: 2023–2024 m. Graylog pakeitė pagrindinio kodo licenciją iš Apache 2.0 į Server Side Public License (SSPL). Didžiajai daugumai naudotojų – įmonėms, kurios Graylog naudoja viduje savo žurnalų valdymui – šis pokytis neturi jokios praktinės įtakos. Jūs vis dar galite naudoti Graylog Open nemokamai. SSPL daugiausia taikoma organizacijoms, kurios nori siūlyti Graylog kaip hostinamą paslaugą trečiosioms šalims. Jei jums reikalinga būtent Apache 2.0 licencija, paskutinė tokia versija buvo Graylog 5.0; nuo 5.1 versijos taikoma SSPL.

Kada naudoti Graylog

Graylog yra tinkamas įrankis, kai jūsų komandai reikia centralizuoti žurnalus iš kelių serverių, paslaugų ar aplikacijų į vieną ieškomą sąsają. Jei inžinieriai praleidžia laiką jungdamiesi per SSH, kad šalintų gamybos problemas, arba jei neturite realaus laiko matomumo, kas vyksta jūsų infrastruktūroje, Graylog šią problemą išsprendžia tiesiogiai.

Tai taip pat puikus pasirinkimas, kai reikia realaus laiko įspėjimų apie žurnalų modelius – klaidų šuolius, nesėkmingus prisijungimus, paslaugų sutrikimus – ir kai būtina saugoti žurnalus atitikties ar audito tikslais. Graylog ypač tinka komandoms, kurios nori specializuotos žurnalų valdymo sąsajos be sudėtingumo, kurį sukelia kelių atskirų įrankių derinimas ir priežiūra.

Kada nenaudoti Graylog

Graylog sukurtas būtent žurnalų valdymui. Jei jūsų pagrindinis poreikis – saugoti ir užklausti laiko eilučių (time-series) metrikas – CPU naudojimą, užklausų vėlavimą, atminties suvartojimą – specializuota laiko eilučių duomenų bazė, tokia kaip InfluxDB ar Prometheus, bus tinkamesnė. Graylog optimizuotas žurnalų įvykiams, o ne didelio dažnio skaitmeniniams matavimams, kuriuos efektyviai apdoroja metrikų duomenų bazės.

Kodėl Graylog yra puikus pasirinkimas

Graylog turi keletą svarbių pranašumų, lyginant su savarankiškai surinkta žurnalų valdymo stack:

  1. Viskas viename: OpenSearch ir MongoDB yra įtraukti ir iš anksto sukonfigūruoti – nereikia diegti, konfigūruoti ir prižiūrėti trijų atskirų paslaugų.
  2. Galinga paieška: Pilno teksto paieška tarp milijardų žurnalų įvykių per milisekundes, naudojant intuityvią Graylog Query Language (GQL), kuriai nereikia specialių užklausų sintaksės žinių.
  3. Srautai ir pipelines: Žurnalų duomenų nukreipimas ir transformavimas realiu laiku – triukšmo filtravimas, laukų praturtinimas, specifinių įvykių siuntimas į konkrečias paskirties vietas be individualaus kodo rašymo.
  4. Integruoti įspėjimai: Įspėjimų sąlygos ir pranešimai el. paštu, Slack, PagerDuty ir kt. yra tiesiogiai integruoti į Graylog – nereikia atskiro įspėjimų įrankio.
  5. Prietaisų skydeliai: Vizualius prietaisų skydelius galite kurti tiesiai Graylog žiniatinklio sąsajoje, nereikia atskiro vizualizacijos sluoksnio, kaip Grafana ar Kibana.
  6. Daugiaprotokolinė ingestija: Priima žurnalus per Syslog, GELF, Beats, raw TCP/UDP, HTTP ir kt. – suderinama praktiškai su bet kuriuo jūsų infrastruktūroje jau naudojamu žurnalų siuntėju.

Kas yra Graylog cloud

Graylog cloud reiškia valdomą Graylog diegimą, kurį teikia debesijos paslaugų tiekėjas, o ne vietinė (on-premises) instaliacija. Savarankiškas Graylog diegimas reikalauja kartu paleisti tris paslaugas – patį Graylog, OpenSearch ir MongoDB – ir visų jų atnaujinimas, atsarginės kopijos bei saugumas yra nemažas operacinis iššūkis.

Su Stackhero galite turėti dedikuotą Graylog instanciją, veikiančią vos per 2 minutes. OpenSearch ir MongoDB yra įtraukti ir iš anksto sukonfigūruoti. Jūsų instancija veikia dedikuotoje virtualioje mašinoje – ne bendroje infrastruktūroje – todėl jūsų žurnalų duomenys išlieka izoliuoti. Prisijungimai šifruojami naudojant TLS 1.3, atsarginės kopijos daromos automatiškai kas 24 valandas ir saugomos iki 3 mėnesių, o atnaujinimai prieinami vienu paspaudimu. Serveriai prieinami JAV ir Europoje, su valandiniu atsiskaitymu, tad mokate tik už tai, ką naudojate.

Kaip pradėti naudotis Graylog

Jei manote, kad Graylog yra tinkamas sprendimas jūsų projektui, galite išbandyti iš anksto sukonfigūruotą ir paruoštą naudoti valdomą instanciją vos vienu paspaudimu. Nemokamą demonstracinę instanciją galite paleisti per mažiau nei 2 minutes ir be jokių rūpesčių susipažinti su Graylog. Kai būsite patenkinti testais, atnaujinti iki gamybinės instancijos bus taip pat paprasta.

Spustelėkite čia, jei norite sužinoti daugiau apie Graylog cloud ir pradėti naudotis nemokamai.

Kiti straipsniai apie Graylog

  1. Pradžia
    Kaip pradėti naudotis Graylog
  2. Pasirinkite įvesties tipus
    Kaip pasirinkti tinkamą Graylog įvesties tipą
  3. Konfigūruoti įvestis
    Kaip konfigūruoti Graylog įvestis
  4. Tvarkyti saugojimo laikotarpį
    Kaip konfigūruoti žurnalų saugojimo laikotarpį
  5. Įspėjimai
    Kaip siųsti Graylog įspėjimus el. paštu, Slack arba Mattermost
  6. Enterprise licencija
    Kaip valdyti Graylog Enterprise licenciją
  7. Duomenų atvaizdavimo problemos
    Kaip išspręsti Graylog indekso duomenų atvaizdavimo problemas
  8. Naudojimas su Node.js
    Kaip siųsti logus iš Node.js į Graylog
  9. Naudojimas su Dot NET
    Kaip siųsti žurnalus iš .NET/Serilog į Graylog
  10. Naudojimas su Python
    Kaip siųsti žurnalus iš Python į Graylog