Graylog: Introdução

Introdução ao Graylog, tudo o que precisa de saber

👋 Bem-vindo à documentação da Stackhero!

A Stackhero oferece uma solução Graylog cloud pronta a usar que proporciona uma série de benefícios, incluindo:

  • Servidor de email SMTP ilimitado e dedicado incluído.
  • Atualizações sem esforço com apenas um clique.
  • Nome de domínio personalizável seguro com HTTPS (por exemplo, https://logs.sua-empresa.com).
  • Desempenho ótimo e segurança robusta alimentados por uma VM privada e dedicada.

Poupe tempo e simplifique a sua vida: são necessários apenas 5 minutos para experimentar a solução Graylog cloud hosting da Stackhero!

O que é o Graylog

O Graylog é uma plataforma open source de gestão de logs que oferece às equipas de engenharia e operações um ponto central para recolher, armazenar, pesquisar e analisar dados de logs provenientes de toda a infraestrutura. Em vez de aceder via SSH a servidores individuais para ler ficheiros de log um a um, envia todos os seus logs para o Graylog, onde são indexados em tempo real e tornam-se pesquisáveis entre milhares de milhões de eventos em milissegundos.

A plataforma assenta em três capacidades principais. Primeiro, recolhe dados de logs de praticamente qualquer origem — servidores, aplicações, contentores, dispositivos de rede, serviços cloud — utilizando protocolos standard como Syslog, GELF, Beats, TCP/UDP bruto e HTTP. Em segundo lugar, indexa esses dados num motor OpenSearch integrado, tornando todos os campos imediatamente pesquisáveis. Por fim, analisa os dados através de uma interface web que inclui pesquisa full-text, dashboards personalizáveis, regras de alerta e pipelines de processamento capazes de enriquecer, filtrar e encaminhar eventos de log em tempo real.

A empresa por detrás do Graylog

O Graylog foi criado em 2010 por Lennart Koopmann em Hamburgo, Alemanha. O projeto começou como uma ferramenta pessoal para gestão centralizada de logs e foi disponibilizado como open source em 2012 sob o nome GELF (Graylog Extended Log Format). Rapidamente ganhou popularidade nas comunidades DevOps e de infraestrutura, levando à fundação da Graylog, Inc. para desenvolver uma oferta comercial baseada no núcleo open source.

A empresa tem sede em Houston, Texas, com escritórios em Londres e Hamburgo. Ao longo dos anos, angariou financiamento significativo de capital de risco e serve atualmente milhares de organizações em todo o mundo, desde startups a grandes empresas e entidades governamentais.

Para que serve o Graylog

O Graylog é utilizado por equipas de engenharia e operações em diversos cenários. O caso de uso mais comum é a depuração em produção: quando algo falha, os engenheiros precisam de pesquisar logs de dezenas de serviços em simultâneo, em vez de recorrer ao grep em ficheiros de cada máquina. O Graylog torna essa pesquisa instantânea.

Para além da depuração, as equipas usam o Graylog para monitorização de infraestrutura — configurando condições de alerta que disparam quando há picos de erros, serviços deixam de responder ou surgem padrões invulgares nos logs. As equipas de segurança utilizam-no para auditoria e conformidade, acompanhando tentativas de autenticação, padrões de acesso e anomalias em toda a stack, e retendo logs durante os períodos exigidos pelo RGPD, ISO 27001, SOC 2 e HIPAA. As equipas de plataforma utilizam-no para correlacionar eventos entre sistemas heterogéneos — servidores web, bases de dados, load balancers, pods Kubernetes — numa única linha temporal pesquisável.

Como funciona o Graylog

O Graylog funciona como um hub central entre a sua infraestrutura e a sua equipa. Os shippers de logs — Filebeat, Fluentd, rsyslog ou bibliotecas cliente GELF nativas — recolhem dados de logs dos seus sistemas e encaminham-nos para os endpoints de input do Graylog. O Graylog processa cada mensagem recebida através de pipelines configuráveis que podem fazer parsing de campos, aplicar transformações, enriquecer eventos com dados geo-IP ou tabelas de lookup, e encaminhar mensagens para os streams apropriados.

As mensagens processadas são indexadas pelo OpenSearch, que vem incluído com o Graylog e gere toda a carga de pesquisa full-text. O MongoDB, também incluído, armazena a configuração do Graylog — streams, dashboards, utilizadores, regras de alerta e definições de pipelines. A sua equipa interage com tudo isto através da interface web do Graylog, onde pode executar pesquisas ad hoc, criar dashboards, configurar alertas e investigar incidentes. O resultado é uma visão centralizada de todos os seus logs, com pesquisas em sub-segundos mesmo em grande escala.

O Graylog é gratuito

O Graylog está disponível em duas edições. Graylog Open é a edição comunitária — gratuita, incluindo para produção. Cobre as necessidades essenciais de gestão de logs: recolha, indexação, pesquisa, dashboards, streams, pipelines e alertas básicos. O código fonte está disponível no GitHub. Graylog Operations e Graylog Security são edições comerciais que acrescentam funcionalidades como deteção de anomalias, relatórios de conformidade, regras de correlação avançadas e suporte empresarial.

Uma nota importante sobre licenciamento: em 2023–2024, o Graylog alterou a licença do seu core de Apache 2.0 para a Server Side Public License (SSPL). Para a grande maioria dos utilizadores — empresas que utilizam o Graylog internamente para gerir os seus próprios logs — esta alteração não tem impacto prático. Pode continuar a usar o Graylog Open gratuitamente. A SSPL afeta principalmente organizações que pretendem oferecer o Graylog como serviço alojado a terceiros. Se dependia especificamente da licença Apache 2.0, a última versão com essa licença foi a Graylog 5.0; as versões 5.1 e posteriores estão sob SSPL.

Quando usar o Graylog

O Graylog é a ferramenta certa quando a sua equipa precisa de centralizar logs de múltiplos servidores, serviços ou aplicações numa única interface pesquisável. Se os engenheiros estão a gastar tempo a aceder via SSH a máquinas para depurar problemas em produção, ou se não tem visibilidade em tempo real sobre o que se passa na sua infraestrutura, o Graylog resolve esse problema diretamente.

É também uma excelente escolha quando precisa de alertas em tempo real sobre padrões nos logs — picos de erros, falhas de autenticação, interrupções de serviço — e quando é necessário reter logs para fins de conformidade ou auditoria. O Graylog é especialmente indicado para equipas que procuram uma interface dedicada de gestão de logs sem a complexidade de montar e manter várias ferramentas separadas.

Quando não usar o Graylog

O Graylog foi concebido especificamente para gestão de logs. Se a sua principal necessidade é armazenar e consultar métricas de séries temporais — utilização de CPU, latência de pedidos, consumo de memória — uma base de dados dedicada a séries temporais como InfluxDB ou Prometheus será mais adequada. O Graylog está otimizado para eventos de log, não para medições numéricas de alta frequência que as bases de dados de métricas conseguem gerir de forma eficiente.

O que torna o Graylog tão bom

O Graylog oferece várias vantagens importantes em relação à montagem manual de uma stack de gestão de logs:

  1. Tudo-em-um: OpenSearch e MongoDB vêm incluídos e pré-configurados — não é necessário instalar, configurar e manter três serviços separados.
  2. Pesquisa poderosa: Pesquisa full-text entre milhares de milhões de eventos de log em milissegundos, utilizando a linguagem de consulta Graylog Query Language (GQL), intuitiva e sem necessidade de aprender sintaxe especializada.
  3. Streams e pipelines: Encaminhe e transforme dados de log em tempo real — filtre ruído, enriqueça campos e envie eventos específicos para destinos específicos sem escrever código personalizado.
  4. Alertas integrados: Condições de alerta e notificações por email, Slack, PagerDuty e outros estão integrados diretamente no Graylog — não é necessário um sistema de alertas separado.
  5. Dashboards: Crie dashboards visuais diretamente na interface web do Graylog, sem necessidade de uma camada de visualização adicional como Grafana ou Kibana.
  6. Ingestão multi-protocolo: Aceite logs via Syslog, GELF, Beats, TCP/UDP bruto, HTTP e mais — compatível com praticamente qualquer shipper de logs já utilizado na sua infraestrutura.

O que é o Graylog cloud

Graylog cloud refere-se a uma implementação gerida do Graylog fornecida por um provedor cloud, em vez de uma instalação on-premises. Auto-hospedar o Graylog implica executar três serviços em conjunto — o próprio Graylog, OpenSearch e MongoDB — e manter todos atualizados, com backups e seguros é uma tarefa operacional significativa.

Com a Stackhero, pode ter uma instância dedicada de Graylog pronta a funcionar em apenas 2 minutos. OpenSearch e MongoDB estão incluídos e pré-configurados. A sua instância corre numa VM dedicada — não em infraestrutura partilhada — garantindo o isolamento dos seus dados de log. As ligações são encriptadas com TLS 1.3, os backups são automáticos a cada 24 horas e mantidos até 3 meses, e as atualizações estão disponíveis com um clique. Os servidores estão disponíveis nos Estados Unidos e na Europa, com faturação à hora para pagar apenas o que utiliza.

Como começar com o Graylog

Se acredita que o Graylog é a solução certa para o seu projeto, pode experimentar uma instância gerida, pré-configurada e pronta a usar com apenas um clique. Pode iniciar uma instância de demonstração gratuita em apenas 2 minutos e explorar o Graylog sem complicações. Assim que estiver satisfeito com os seus testes, a atualização para uma instância pronta para produção é igualmente simples.

Clique aqui para saber mais sobre o Graylog cloud e começar gratuitamente.

Outros artigos para Graylog

  1. Primeiros passos
    Como começar a utilizar o Graylog
  2. Escolher tipos de input
    Como escolher o tipo de input Graylog adequado
  3. Configurar inputs
    Como configurar inputs no Graylog
  4. Gerir a retenção
    Como configurar a retenção de logs
  5. Alertas
    Como enviar alertas do Graylog por email, Slack ou Mattermost
  6. Licença Enterprise
    Como gerir a licença Graylog Enterprise
  7. Problemas de mapeamento de dados
    Como resolver problemas de mapeamento de dados em índices Graylog
  8. Utilizar com Node.js
    Como enviar logs de Node.js para o Graylog
  9. Utilizar com Dot NET
    Como enviar logs de .NET/Serilog para Graylog
  10. Utilizar com Python
    Como enviar logs de Python para o Graylog