Graylog: 简介

Graylog 介绍，您需要了解的一切

👋 欢迎阅读 Stackhero 文档！

Stackhero 提供现成的 Graylog 云解决方案，具有众多优势，包括：

包含无限制和专用的 SMTP 电子邮件服务器。

只需点击即可轻松完成更新。

使用 HTTPS 保护的可定制域名（例如，https://logs.your-company.com）。

由专用私有 VM提供的最佳性能和强大安全性。

节省时间并简化您的生活：只需 5 分钟即可试用 Stackhero 的 Graylog 云托管解决方案！

什么是 Graylog

Graylog 是一个开源日志管理平台，为工程和运维团队提供一个统一的平台，用于收集、存储、搜索和分析来自整个基础设施的日志数据。与其逐台服务器通过 SSH 查看日志文件，不如将所有日志集中发送到 Graylog，日志会被实时索引，并可在毫秒级内跨数十亿事件进行搜索。

该平台围绕三大核心功能构建。首先，它可以从几乎任何来源收集日志数据——服务器、应用程序、容器、网络设备、云服务——支持标准协议如 Syslog、GELF、Beats、原始 TCP/UDP 及 HTTP。其次，它会将这些数据索引到内置的 OpenSearch 引擎中，使每个字段都能被即时查询。第三，通过 Web 界面分析数据，支持全文搜索、自定义仪表盘、告警规则以及可实时丰富、过滤和路由日志事件的处理流水线。

Graylog 背后的公司

Graylog 由 Lennart Koopmann 于 2010 年在德国汉堡创建。该项目最初是一个用于集中日志管理的个人工具，并于 2012 年以 GELF（Graylog Extended Log Format）之名开源。它很快在 DevOps 和基础设施社区中获得关注，Graylog, Inc. 随后成立，围绕开源核心构建商业产品。

公司总部位于美国德克萨斯州休斯敦，在伦敦和汉堡设有办事处。多年来获得了大量风险投资，目前为全球数千家组织提供服务，包括初创公司、大型企业和政府机构。

Graylog 的用途

Graylog 被工程和运维团队广泛应用于多种场景。最常见的用例是生产环境调试：当出现故障时，工程师需要同时搜索数十个服务的日志，而不是在每台机器上用 grep 查找文件。Graylog 让这种搜索变得即时高效。

除了调试，团队还用 Graylog 进行基础设施监控——设置告警条件，在错误率激增、服务无响应或日志中出现异常模式时触发告警。安全团队则用于审计与合规，跟踪认证尝试、访问模式和全栈异常，并按 GDPR、ISO 27001、SOC 2、HIPAA 等要求保留日志。平台团队用它关联事件，将 Web 服务器、数据库、负载均衡器、Kubernetes pod 等异构系统的事件整合到一个可搜索的时间线中。

Graylog 的工作原理

Graylog 作为您的基础设施与团队之间的中心枢纽。日志收集器——如 Filebeat、Fluentd、rsyslog 或原生 GELF 客户端库——从您的系统收集日志数据并转发到 Graylog 的输入端点。Graylog 随后通过可配置的流水线处理每条消息，可解析字段、应用转换、用 geo-IP 数据或查找表丰富事件，并将消息路由到相应的流（stream）。

处理后的消息由 OpenSearch 索引，OpenSearch 与 Graylog 一同打包，负责全文搜索任务。MongoDB 也一同集成，用于存储 Graylog 的配置——流、仪表盘、用户、告警规则和流水线定义。您的团队通过 Graylog 的 Web 界面进行操作，可执行临时搜索、构建仪表盘、配置告警并调查事件。这样，所有日志数据都集中在一个界面中，即使在大规模场景下也能实现亚秒级搜索。

Graylog 是否免费

Graylog 提供两个版本。Graylog Open 是社区版——免费使用，包括生产环境。它涵盖日志管理的核心需求：收集、索引、搜索、仪表盘、流、流水线和基础告警。源代码可在 GitHub 获取。Graylog Operations 和 Graylog Security 是商业版，增加了异常检测、合规报告、高级关联规则和企业级支持等功能。

关于授权的一个重要说明：2023–2024 年，Graylog 将其核心代码授权从 Apache 2.0 更改为 Server Side Public License (SSPL)。对绝大多数用户——即在内部自用 Graylog 管理日志的公司——这一变化没有实际影响。您仍可免费使用 Graylog Open。SSPL 主要影响那些希望将 Graylog 作为托管服务提供给第三方的组织。如果您特别依赖 Apache 2.0 授权，最后一个 Apache 授权版本是 Graylog 5.0；5.1 及以后版本采用 SSPL。

何时使用 Graylog

当您的团队需要将多个服务器、服务或应用的日志集中到一个可搜索界面时，Graylog 是理想选择。如果工程师还在通过 SSH 登录机器调试生产问题，或者您无法实时了解基础设施的运行状况，Graylog 能直接解决这些痛点。

如果您需要对日志模式进行实时告警——如错误激增、登录失败、服务中断——或需要为合规或审计目的保留日志，Graylog 也是非常合适的选择。对于希望拥有专用日志管理 UI、又不想维护多个独立工具的团队，Graylog 尤其适用。

何时不适合使用 Graylog

Graylog 专为日志管理而设计。如果您的主要需求是存储和查询时序指标——如 CPU 使用率、请求延迟、内存消耗——建议使用专用的时序数据库，如 InfluxDB 或 Prometheus。Graylog 针对日志事件进行了优化，不适合高频数值型指标的高效处理。

Graylog 的优势

与自行搭建日志管理方案相比，Graylog 具有多项显著优势：

一体化： OpenSearch 和 MongoDB 已打包并预配置——无需单独安装、配置和维护三套服务。
强大搜索： 可在数十亿日志事件中实现毫秒级全文搜索，采用直观的 Graylog Query Language (GQL)，无需掌握复杂查询语法。
流与流水线： 实时路由和转换日志数据——过滤噪声、丰富字段、将特定事件发送到指定目的地，无需编写自定义代码。
内置告警： 告警条件和通知（支持 email、Slack、PagerDuty 等）直接集成在 Graylog 中——无需额外告警工具。
仪表盘： 可直接在 Graylog Web UI 中构建可视化仪表盘，无需额外的可视化层如 Grafana 或 Kibana。
多协议采集： 支持通过 Syslog、GELF、Beats、原始 TCP/UDP、HTTP 等多种协议接收日志——兼容您现有基础设施中几乎所有日志收集器。

什么是 Graylog cloud

Graylog cloud 指由云服务商提供的 Graylog 托管部署，而非本地自建。自建 Graylog 需同时运行 Graylog、OpenSearch 和 MongoDB 三个服务，维护更新、备份和安全，运维负担不小。

通过 Stackhero，您可在 2 分钟内获得专属 Graylog 实例。OpenSearch 和 MongoDB 已包含并预配置。您的实例运行在专用虚拟机上——非共享基础设施——日志数据完全隔离。所有连接均采用 TLS 1.3 加密，备份每 24 小时自动执行并保留最长 3 个月，更新一键完成。服务器位于美国和欧洲，按小时计费，按需付费。

如何启动 Graylog

如果您认为 Graylog 适合您的项目，可以考虑试用预配置、即开即用的托管实例，只需一键即可启动。您可在 2 分钟内启动免费演示实例，无需任何复杂操作即可体验 Graylog。测试满意后，升级到生产可用实例同样简单。

点击此处了解更多 Graylog cloud 信息并免费试用。