Graylog: 選擇輸入格式
此文件屬於選擇輸入類型指南的一部分。請在此處查看完整指南:如何選擇合適的 Graylog 輸入類型。
👋 歡迎來到 Stackhero 文件!
Stackhero 提供即用型的 Graylog cloud 解決方案,帶來多項好處,包括:
- 包含無限和專用的 SMTP 電郵伺服器。
- 只需一鍵即可輕鬆更新。
- 使用 HTTPS 保護的可自訂域名(例如,https://logs.your-company.com)。
- 由專用私有 VM提供的最佳性能和強大安全性。
節省時間並簡化您的生活:只需 5 分鐘即可嘗試 Stackhero 的 Graylog cloud hosting 解決方案!
第一步是決定您的日誌訊息格式。主要有三個選項:RAW/Plaintext、Syslog 或 GELF。
RAW/Plaintext 格式
這是最簡單的格式。它適用於任何系統,因為它會發送純文字訊息。非常容易使用,非常適合初步測試,例如使用 netcat 工具發送訊息。
要測試,您可以建立一個「Raw/Plaintext UDP」輸入,然後用以下其中一條指令發送測試日誌:
- macOS:
echo "Hello Graylog from UDP" | nc -u -w1 -c <XXXXXX>.stackhero-network.com 5555 - Linux:
echo "Hello Graylog from UDP" | nc -u -w1 <XXXXXX>.stackhero-network.com 5555
是不是很簡單?但由於這是基本格式,很快就會遇到限制。因此,我們不建議將它用於簡單測試以外的情境。
Syslog 格式
這是一種廣泛用於伺服器環境儲存和傳送日誌的格式。您可以在 Linux、Windows、*BSD 及其他作業系統中找到它。
如果您正在使用 Syslog、Rsyslog 或其他相容服務,並希望從伺服器發送日誌到 Graylog,syslog 輸入是最簡單的選擇。
不過,由於 GELF 更強大,如果您能夠發送 GELF 格式的訊息,我們建議您這樣做,詳情請見下文。
請注意,syslog 格式的訊息長度限制為 1024 個字元。
GELF 格式(推薦)
GELF 代表「Graylog Extended Log Format」。這個格式由 Graylog 創建,現已被許多產品廣泛採用,成為業界標準。
GELF 格式的優勢在於它能以結構化方式發送日誌。結構化日誌讓您可以傳送多個欄位及其值,而不只是單一未結構化的文字訊息。這讓 Graylog 更容易解析和檢索資訊。
例如,若您想發送一條包含 IP 地址和請求類型的日誌,可以傳送一個包含 ip 和 request_type 兩個欄位的訊息。在 Graylog 端,您可以直接根據這些欄位搜尋,例如查找所有 request_type: POST 的請求。
GELF 以 JSON 為基礎,必須至少包含 version、host 和 short_message 這三個欄位。您還可以加入其他欄位,但欄位名稱必須以底線(_)開頭。
例如,一條包含額外欄位 device_id 的簡單訊息如下:
{
"version": "1.1",
"host": "myIotDevice",
"short_message": "Something is happening",
"_device_id": "abcd"
}
然後,您可以在 Graylog 上用查詢 device_id: abcd 搜尋所有來自「abcd」這個裝置的訊息。
如需更多 GELF 詳情,請參閱官方規格說明:https://docs.graylog.org/en/4.0/pages/gelf.html。
如果您想從伺服器或應用程式發送日誌,可以使用現有的多種函式庫自動建立及發送訊息。相關範例可參考 Node.js、.NET 及 Python。