Graylog: 選擇輸入格式

此文件屬於選擇輸入類型指南的一部分。請在此處查看完整指南:如何選擇合適的 Graylog 輸入類型

👋 歡迎來到 Stackhero 文件!

Stackhero 提供即用型的 Graylog cloud 解決方案,帶來多項好處,包括:

  • 包含無限和專用的 SMTP 電郵伺服器
  • 只需一鍵即可輕鬆更新
  • 使用 HTTPS 保護的可自訂域名(例如,https://logs.your-company.com)。
  • 專用私有 VM提供的最佳性能和強大安全性

節省時間簡化您的生活:只需 5 分鐘即可嘗試 Stackhero 的 Graylog cloud hosting 解決方案!

第一步是決定您的日誌訊息格式。主要有三個選項:RAW/PlaintextSyslogGELF

這是最簡單的格式。它適用於任何系統,因為它會發送純文字訊息。非常容易使用,非常適合初步測試,例如使用 netcat 工具發送訊息。

要測試,您可以建立一個「Raw/Plaintext UDP」輸入,然後用以下其中一條指令發送測試日誌:

  1. macOS:echo "Hello Graylog from UDP" | nc -u -w1 -c <XXXXXX>.stackhero-network.com 5555
  2. Linux:echo "Hello Graylog from UDP" | nc -u -w1 <XXXXXX>.stackhero-network.com 5555

是不是很簡單?但由於這是基本格式,很快就會遇到限制。因此,我們不建議將它用於簡單測試以外的情境。

這是一種廣泛用於伺服器環境儲存和傳送日誌的格式。您可以在 Linux、Windows、*BSD 及其他作業系統中找到它。

如果您正在使用 Syslog、Rsyslog 或其他相容服務,並希望從伺服器發送日誌到 Graylog,syslog 輸入是最簡單的選擇。

不過,由於 GELF 更強大,如果您能夠發送 GELF 格式的訊息,我們建議您這樣做,詳情請見下文。

請注意,syslog 格式的訊息長度限制為 1024 個字元。

GELF 代表「Graylog Extended Log Format」。這個格式由 Graylog 創建,現已被許多產品廣泛採用,成為業界標準。

GELF 格式的優勢在於它能以結構化方式發送日誌。結構化日誌讓您可以傳送多個欄位及其值,而不只是單一未結構化的文字訊息。這讓 Graylog 更容易解析和檢索資訊。

例如,若您想發送一條包含 IP 地址和請求類型的日誌,可以傳送一個包含 iprequest_type 兩個欄位的訊息。在 Graylog 端,您可以直接根據這些欄位搜尋,例如查找所有 request_type: POST 的請求。

GELF 以 JSON 為基礎,必須至少包含 versionhostshort_message 這三個欄位。您還可以加入其他欄位,但欄位名稱必須以底線(_)開頭。

例如,一條包含額外欄位 device_id 的簡單訊息如下:

{
  "version": "1.1",
  "host": "myIotDevice",
  "short_message": "Something is happening",
  "_device_id": "abcd"
}

然後,您可以在 Graylog 上用查詢 device_id: abcd 搜尋所有來自「abcd」這個裝置的訊息。

如需更多 GELF 詳情,請參閱官方規格說明:https://docs.graylog.org/en/4.0/pages/gelf.html

如果您想從伺服器或應用程式發送日誌,可以使用現有的多種函式庫自動建立及發送訊息。相關範例可參考 Node.js.NETPython