Graylog: Wprowadzenie

Wprowadzenie do Graylog — wszystko, co musisz o nim wiedzieć

👋 Witamy w dokumentacji Stackhero!

Stackhero oferuje gotowe do użycia rozwiązanie Graylog cloud, które zapewnia wiele korzyści, w tym:

  • Nieograniczony i dedykowany serwer e-mail SMTP w zestawie.
  • Bezproblemowe aktualizacje za pomocą jednego kliknięcia.
  • Dostosowywalna nazwa domeny zabezpieczona za pomocą HTTPS (na przykład, https://logs.twoja-firma.com).
  • Optymalna wydajność i solidne zabezpieczenia dzięki prywatnej i dedykowanej VM.

Oszczędzaj czas i upraszczaj swoje życie: wystarczy 5 minut, aby wypróbować rozwiązanie Graylog cloud hosting Stackhero!

Czym jest Graylog

Graylog to otwartoźródłowa platforma do zarządzania logami, która zapewnia zespołom inżynieryjnym i operacyjnym jedno miejsce do zbierania, przechowywania, wyszukiwania i analizowania danych logów z każdego elementu infrastruktury. Zamiast łączyć się przez SSH z poszczególnymi serwerami i czytać pliki logów jeden po drugim, wszystkie logi wysyłasz do Graylog, gdzie są indeksowane w czasie rzeczywistym i stają się przeszukiwalne wśród miliardów zdarzeń w ciągu milisekund.

Platforma opiera się na trzech kluczowych funkcjonalnościach. Po pierwsze, zbiera dane logów praktycznie z dowolnego źródła — serwerów, aplikacji, kontenerów, urządzeń sieciowych, usług chmurowych — korzystając ze standardowych protokołów, takich jak Syslog, GELF, Beats, surowy TCP/UDP oraz HTTP. Po drugie, indeksuje te dane w wbudowanym silniku OpenSearch, dzięki czemu każde pole jest natychmiast możliwe do przeszukania. Po trzecie, analizuje dane przez interfejs webowy, który oferuje wyszukiwanie pełnotekstowe, konfigurowalne dashboardy, reguły alertów oraz pipeline'y przetwarzające, które mogą wzbogacać, filtrować i kierować zdarzenia logów w czasie rzeczywistym.

Firma stojąca za Graylog

Graylog został stworzony w 2010 roku przez Lennarta Koopmanna w Hamburgu, w Niemczech. Projekt rozpoczął się jako osobiste narzędzie do centralnego zarządzania logami i został udostępniony jako open source w 2012 roku pod nazwą GELF (Graylog Extended Log Format). Szybko zyskał popularność w społecznościach DevOps i infrastrukturalnych, a firma Graylog, Inc. została założona, aby zbudować komercyjną ofertę wokół otwartoźródłowego rdzenia.

Siedziba firmy znajduje się w Houston, w stanie Teksas, a biura w Londynie i Hamburgu. Przez lata pozyskała znaczące finansowanie od inwestorów i obsługuje tysiące organizacji na całym świecie — od startupów, przez duże przedsiębiorstwa, po instytucje rządowe.

Do czego służy Graylog

Graylog jest wykorzystywany przez zespoły inżynieryjne i operacyjne w szerokim zakresie scenariuszy. Najczęstszy przypadek użycia to debugowanie produkcyjne: gdy coś przestaje działać, inżynierowie muszą przeszukiwać logi z dziesiątek usług jednocześnie, a nie przeglądać pliki na pojedynczych maszynach. Graylog umożliwia natychmiastowe wyszukiwanie.

Poza debugowaniem, zespoły używają Graylog do monitorowania infrastruktury — konfigurując warunki alertów, które uruchamiają się przy wzroście liczby błędów, braku odpowiedzi usług lub pojawieniu się nietypowych wzorców w logach. Zespoły bezpieczeństwa wykorzystują go do audytu i zgodności, śledząc próby uwierzytelnienia, wzorce dostępu i anomalie w całym stacku oraz przechowując logi przez okresy wymagane przez RODO, ISO 27001, SOC 2 i HIPAA. Zespoły platformowe używają go do korelacji zdarzeń w różnych systemach — serwerach WWW, bazach danych, load balancerach, podach Kubernetes — w jednej, przeszukiwalnej osi czasu.

Jak działa Graylog

Graylog działa jako centralny hub pomiędzy Twoją infrastrukturą a zespołem. Shippery logów — Filebeat, Fluentd, rsyslog lub natywne biblioteki klienckie GELF — zbierają dane logów z Twoich systemów i przekazują je do endpointów wejściowych Graylog. Graylog następnie przetwarza każdą przychodzącą wiadomość przez konfigurowalne pipeline'y, które mogą parsować pola, stosować transformacje, wzbogacać zdarzenia o dane geo-IP lub tabele lookup, a także kierować wiadomości do odpowiednich streamów.

Przetworzone wiadomości są indeksowane przez OpenSearch, który jest dołączony do Graylog i obsługuje wyszukiwanie pełnotekstowe. MongoDB, również dołączony, przechowuje konfigurację Graylog — streamy, dashboardy, użytkowników, reguły alertów i definicje pipeline'ów. Twój zespół korzysta z tego wszystkiego przez interfejs webowy Graylog, gdzie może wykonywać ad-hocowe wyszukiwania, budować dashboardy, konfigurować alerty i analizować incydenty. Efektem jest jedno, centralne miejsce do zarządzania wszystkimi logami, z wyszukiwaniem poniżej sekundy nawet przy dużej skali.

Czy Graylog jest darmowy

Graylog jest dostępny w dwóch edycjach. Graylog Open to edycja społecznościowa — darmowa do użytku, także w środowiskach produkcyjnych. Obejmuje podstawowe potrzeby zarządzania logami: zbieranie, indeksowanie, wyszukiwanie, dashboardy, streamy, pipeline'y i podstawowe alertowanie. Kod źródłowy jest dostępny na GitHub. Graylog Operations i Graylog Security to edycje komercyjne, które oferują dodatkowe funkcje, takie jak wykrywanie anomalii, raportowanie zgodności, zaawansowane reguły korelacji oraz wsparcie dla przedsiębiorstw.

Ważna uwaga licencyjna: w latach 2023–2024 Graylog zmienił licencję swojego głównego kodu z Apache 2.0 na Server Side Public License (SSPL). Dla zdecydowanej większości użytkowników — firm korzystających z Graylog wewnętrznie do zarządzania własnymi logami — ta zmiana nie ma praktycznego znaczenia. Nadal możesz korzystać z Graylog Open za darmo. SSPL dotyczy głównie organizacji, które chcą oferować Graylog jako usługę hostowaną dla osób trzecich. Jeśli zależało Ci konkretnie na licencji Apache 2.0, ostatnim wydaniem na tej licencji był Graylog 5.0; wersje 5.1 i nowsze są już na SSPL.

Kiedy używać Graylog

Graylog to właściwe narzędzie, gdy Twój zespół musi scentralizować logi z wielu serwerów, usług lub aplikacji w jednym, przeszukiwalnym interfejsie. Jeśli inżynierowie tracą czas na SSH do maszyn w celu debugowania problemów produkcyjnych lub nie masz wglądu w to, co dzieje się w infrastrukturze w czasie rzeczywistym, Graylog rozwiązuje ten problem bezpośrednio.

To także dobry wybór, gdy potrzebujesz alertowania w czasie rzeczywistym na podstawie wzorców w logach — skoków błędów, nieudanych logowań, awarii usług — oraz gdy musisz przechowywać logi ze względów zgodności lub audytu. Graylog jest szczególnie polecany zespołom, które chcą dedykowanego interfejsu do zarządzania logami bez złożoności związanej z budowaniem i utrzymywaniem wielu oddzielnych narzędzi.

Kiedy nie używać Graylog

Graylog został zaprojektowany specjalnie do zarządzania logami. Jeśli Twoim głównym celem jest przechowywanie i zapytania o metryki szeregów czasowych — zużycie CPU, opóźnienia żądań, zużycie pamięci — lepszym wyborem będzie dedykowana baza danych szeregów czasowych, taka jak InfluxDB lub Prometheus. Graylog jest zoptymalizowany pod kątem zdarzeń logów, a nie wysokoczęstotliwościowych pomiarów numerycznych, które bazy metryczne obsługują znacznie wydajniej.

Co sprawia, że Graylog jest tak dobry

Graylog oferuje kilka istotnych przewag nad samodzielnym budowaniem stacku do zarządzania logami:

  1. Wszystko w jednym: OpenSearch i MongoDB są dołączone i wstępnie skonfigurowane — nie musisz instalować, konfigurować i utrzymywać trzech oddzielnych usług.
  2. Potężne wyszukiwanie: Wyszukiwanie pełnotekstowe w miliardach zdarzeń logów w milisekundy, z użyciem intuicyjnego Graylog Query Language (GQL), który nie wymaga znajomości specjalistycznej składni zapytań.
  3. Streamy i pipeline'y: Kierowanie i transformacja danych logów w czasie rzeczywistym — filtrowanie szumu, wzbogacanie pól, wysyłanie określonych zdarzeń do konkretnych miejsc bez konieczności pisania własnego kodu.
  4. Wbudowane alertowanie: Warunki alertów i powiadomienia przez email, Slack, PagerDuty i inne są zintegrowane bezpośrednio w Graylog — nie potrzebujesz osobnego narzędzia do alertowania.
  5. Dashboardy: Tworzenie wizualnych dashboardów bezpośrednio w webowym UI Graylog, bez konieczności korzystania z osobnej warstwy wizualizacyjnej, takiej jak Grafana czy Kibana.
  6. Wieloprotokołowy odbiór logów: Obsługa logów przez Syslog, GELF, Beats, surowy TCP/UDP, HTTP i inne — kompatybilność praktycznie z każdym shipperem logów używanym w Twojej infrastrukturze.

Czym jest Graylog cloud

Graylog cloud oznacza zarządzaną instancję Graylog dostarczaną przez dostawcę chmurowego, zamiast instalacji on-premises. Samodzielne hostowanie Graylog wymaga uruchomienia trzech usług razem — Graylog, OpenSearch i MongoDB — a utrzymanie ich aktualnych, zbackupowanych i zabezpieczonych to niemałe wyzwanie operacyjne.

Dzięki Stackhero możesz mieć dedykowaną instancję Graylog uruchomioną w zaledwie 2 minuty. OpenSearch i MongoDB są w zestawie i wstępnie skonfigurowane. Twoja instancja działa na dedykowanej maszynie wirtualnej — nie na współdzielonej infrastrukturze — więc Twoje dane logów pozostają odizolowane. Połączenia są szyfrowane za pomocą TLS 1.3, backupy wykonywane są automatycznie co 24 godziny i przechowywane do 3 miesięcy, a aktualizacje dostępne są jednym kliknięciem. Serwery dostępne są w Stanach Zjednoczonych i Europie, a rozliczenie godzinowe pozwala płacić tylko za faktyczne użycie.

Jak zacząć z Graylog

Jeśli uważasz, że Graylog to odpowiednie rozwiązanie dla Twojego projektu, możesz rozważyć wypróbowanie zarządzanej instancji, która jest wstępnie skonfigurowana i gotowa do użycia jednym kliknięciem. Możesz uruchomić darmową instancję demo w mniej niż 2 minuty i przetestować Graylog bez żadnych zobowiązań. Gdy będziesz zadowolony z testów, przejście na instancję produkcyjną jest równie proste.

Kliknij tutaj, aby dowiedzieć się więcej o Graylog cloud i uruchomić go za darmo.

Inne artykuły dotyczące Graylog

  1. Pierwsze kroki
    Jak rozpocząć pracę z Graylog
  2. Wybór typów wejść
    Jak wybrać odpowiedni typ wejścia Graylog
  3. Konfigurowanie inputów
    Jak skonfigurować inputy Graylog
  4. Zarządzanie retencją
    Jak skonfigurować retencję logów
  5. Alertowanie
    Jak wysyłać alerty Graylog przez email, Slack lub Mattermost
  6. Licencja Enterprise
    Jak zarządzać licencją Graylog Enterprise
  7. Problemy z mapowaniem danych
    Jak rozwiązywać problemy z mapowaniem danych indeksu w Graylog
  8. Używanie z Node.js
    Jak wysyłać logi z Node.js do Graylog
  9. Używanie z Dot NET
    Jak wysyłać logi z .NET/Serilog do Graylog
  10. Używanie z Pythonem
    Jak wysyłać logi z Pythona do Graylog