Graylog: Įvesties formato pasirinkimas

Ši dokumentacija yra Pasirinkite įvesties tipus vadovo dalis. Visą vadovą rasite čia: Kaip pasirinkti tinkamą Graylog įvesties tipą.

👋 Sveiki atvykę į Stackhero dokumentaciją!

Stackhero siūlo paruoštą naudoti Graylog cloud sprendimą, kuris suteikia daugybę privalumų, įskaitant:

  • Įtrauktas neribotas ir dedikuotas SMTP el. pašto serveris.
  • Lengvi atnaujinimai vienu paspaudimu.
  • Pritaikomas domeno vardas, apsaugotas HTTPS (pavyzdžiui, https://logs.jusu-imone.com).
  • Optimali veikla ir tvirta sauga, užtikrinta privačia ir dedikuota VM.

Taupykite laiką ir supaprastinkite savo gyvenimą: tereikia 5 minučių, kad išbandytumėte Stackhero Graylog cloud hosting sprendimą!

Pirmas žingsnis – pasirinkti žinučių formatą. Yra trys pagrindinės galimybės: RAW/Plaintext, Syslog arba GELF.

Tai pats paprasčiausias formatas. Jis veikia su bet kuria sistema, nes siunčia pilną tekstinę žinutę. Naudoti labai paprasta ir puikiai tinka pradiniams testams, pavyzdžiui, siunčiant žinutę su netcat įrankiu.

Norėdami išbandyti, galite sukurti "Raw/Plaintext UDP" įvestį ir tada išsiųsti bandomąjį žurnalą viena iš šių komandų:

  1. Iš macOS: echo "Hello Graylog from UDP" | nc -u -w1 -c <XXXXXX>.stackhero-network.com 5555
  2. Iš Linux: echo "Hello Graylog from UDP" | nc -u -w1 <XXXXXX>.stackhero-network.com 5555

Labai paprasta, tiesa? Tačiau, kadangi tai bazinis formatas, greitai susidursite su apribojimais. Todėl nerekomenduojame jo naudoti daugiau nei tik paprastiems testams.

Tai gerai žinomas formatas, plačiai naudojamas serverių aplinkose žurnalų saugojimui ir perdavimui. Jį rasite Linux, Windows, *BSD ir kitose operacinėse sistemose.

Jei naudojate Syslog, Rsyslog ar kitą suderinamą paslaugą ir norite siųsti žurnalus iš serverio į Graylog, syslog įvestis yra paprasčiausias pasirinkimas.

Tačiau, kadangi GELF yra galingesnis, jei galite siųsti žinutes GELF formatu, rekomenduojame rinktis būtent jį, kaip paaiškinta žemiau.

Atkreipkite dėmesį, kad syslog formato žinutės yra ribojamos iki 1024 simbolių.

GELF reiškia "Graylog Extended Log Format". Šį formatą sukūrė Graylog ir jis tapo plačiai naudojamu standartu daugelyje produktų.

GELF formatas yra galingas, nes leidžia siųsti žurnalus struktūruotu būdu. Struktūrizuotas žurnalavimas leidžia perduoti kelis laukus ir reikšmes, o ne tik vieną neapdorotą tekstinę žinutę. Tai palengvina Graylog žinučių analizę ir informacijos paiešką.

Pavyzdžiui, jei norite siųsti žurnalą, kuriame yra IP adresas ir užklausos tipas, galite siųsti žinutę su dviem laukais: ip ir request_type. Graylog pusėje galėsite ieškoti pagal šiuos laukus, pavyzdžiui, visų POST užklausų su užklausa: request_type: POST.

GELF pagrįstas JSON ir privalo turėti bent jau laukus version, host ir short_message. Papildomus laukus galite pridėti, tačiau jų pavadinimai turi prasidėti pabraukimo simboliu (_).

Pavyzdžiui, paprasta žinutė su papildomu lauku device_id atrodytų taip:

{
  "version": "1.1",
  "host": "myIotDevice",
  "short_message": "Something is happening",
  "_device_id": "abcd"
}

Tuomet Graylog galėsite ieškoti visų žinučių iš įrenginio "abcd" su užklausa: device_id: abcd.

Daugiau informacijos apie GELF rasite oficialioje specifikacijoje: https://docs.graylog.org/en/4.0/pages/gelf.html.

Jei norite siųsti žurnalus iš serverių ar aplikacijų, galite naudoti vieną iš daugelio bibliotekų, kurios automatiškai sukuria ir išsiunčia jūsų žinutes. Pavyzdžių rasite Node.js, .NET ir Python.