graylog2 架构--转载

最新推荐文章于 2025-01-20 18:21:12 发布
最新推荐文章于 2025-01-20 18:21:12 发布
阅读量257 收藏
点赞数
文章标签: 运维 大数据 数据库
原文链接:http://www.cnblogs.com/davidwang456/p/4486778.html
版权

原文地址:http://docs.graylog.org/en/latest/pages/architecture.html

Architectural considerations

There are a few rules of thumb when scaling resources for Graylog:

  • graylog-server nodes should have a focus on CPU power.
  • Elasticsearch nodes should have as much RAM as possible and the fastest disks you can get. Everything depends on I/O speed here.
  • MongoDB is only being used to store configuration and the dead letter messages, and can be sized fairly small.
  • graylog-web-interface nodes are mostly waiting for HTTP answers of the rest of the system and can also be rather small.
  • graylog-radio nodes act as workers. They don’t know each other and you can shut them down at any point in time without changing the cluster state at all.

Also keep in mind that messages are only stored in Elasticsearch. If you have data loss on Elasticsearch, the messages are gone - except if you have created backups of the indices.

MongoDB is only storing meta information and will be abstracted with a general database layer in future versions. This will allow you to use other databases like MySQL instead.

Minimum setup

This is a minimum Graylog setup that can be used for smaller, non-critical, or test setups. None of the components is redundant but it is easy and quick to setup.

../_images/simple_setup.png

Bigger production setup

This is a setup for bigger production environments. It has several graylog-server nodes behind a load balancer that share the processing load. The load balancer can ping the graylog-server nodes via REST/HTTP to check if they are alive and take dead nodes out of the cluster.

../_images/extended_setup.png

Highly available setup with Graylog Radio

Beginning with Graylog 1.0 on we do no longer recommend running Graylog Radio because we are now using a high-performant message journal (from the Apache Kafka project) in every graylog-server instance which is spooling all incoming messages to disk immediately and is able to buffer load spikes just at least as good as Graylog Radio was, but with less dependencies and maintenance overhead.

If you are running a setup with Graylog Radio we recommend to shut down the Graylog Radio architecture including AMQP or Kafka brokers completely and directly send messages to thegraylog-server nodes. If you have been using Graylog Radio for load balancing, you should now put a classic load balancer in front of your graylog-server nodes.

This approach has been proven to work great in large high-throughput setups of several of our large scale customers and immensely reduced complexity of their setups.

The Kafka and AMQP inputs are still supported and can be used to build a custom setup using message brokers, if you want to keep using that. A reason for this might be that Graylog is not the only subscriber to the messages on the bus. However we would recommend to use Graylog forwarders to either write to a message bus after processing or write to other systems directly.

转载于:https://www.cnblogs.com/davidwang456/p/4486778.html

aebdm757009
关注
SpringBoot接入轻量级分布式日志框架(GrayLog
m0_67322837的博客
06-21 266
在文章正式开始之前,我分享下我以前负责过的一个系统,它的架构如下:每次当我查问题的时候,我都能把问题初步定位在 逻辑层 ,但为了能给业务方交代,我需要 给证据 业务方面(日志信息就是铁证)。一个请求肯定是被这8台机器内的某一台处理,但具体是哪一台,我不知道。所以,我需要上每台机器上 grep 一把日志,然后才能找出对应的日志证明我的分析。有的时候,可能 接入层 也需要一起参与进去,就排查一个问题,人都傻了了(翻看日志的时间占用了太久了)。后来啊,看了同事的骚操作(在 item2 编写脚本: 快速登录堡垒机
日志平台--graylog搭建、nginx代理
菜鸟运维升级之路
11-11 1893
接上篇文章内容,本章主要以graylog高可用的搭建为主,详细内容如下~Graylog是一款开源的日志管理和分析平台,可以用于收集、存储和分析各种类型的日志数据。
深入探究分布式日志系统 Graylog架构、部署与优化
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
01-20 2247
深入探究分布式日志系统 Graylog架构、部署与优化
Graylog服务器搭建手册,你的私人log服务器
weixin_33690963的博客
10-26 517
2019独角兽企业重金招聘Python工程师标准>>> ...
graylog2使用说明(docker)
07-24
## 什么是graylog Graylog 是一个简单易用、功能较全面的日志管理工具,相比 ELK 组合, 优点: - 部署维护简单 - 查询语法简单易懂(对比ES的语法…) - 内置简单的告警 - 可以将搜索结果导出为 json - 提供简单的聚合统计功能 - UI 比较友好 - 当然, 拓展性上比 ELK 差很多。 整套依赖: - Graylog 提供 graylog 对外接口 - Elasticsearch 日志文件的持久化存储和检索 - MongoDB 只是存储一些 Graylog 的配置 ## 安装 > 可以是裸机安装,也可以是docker安装,这里用docker安装 环境要求: - centos7.4 - cpu2个 内存2G 参考: https://hub.docker.com/r/graylog2/graylog/ ### 环境准备 ``` mkdir /root/graylog && cd /root/graylog //挂载目录 mkdir -p mongo_data graylog_journal es_data //配置文件目录 mkdir -p ./graylog/config cd ./graylog/config wget https://raw.githubusercontent.com/Graylog2/graylog-docker/3.0/config/graylog.conf wget https://raw.githubusercontent.com/Graylog2/graylog-docker/3.0/config/log4j2.xml //提前准备镜像 docker pull mongo:3 docker pull graylog/graylog:3.0 docker pull elasticsearch:5.6.9 ``` ### docker-compose.yml ``` version: '2' services: # MongoDB: https://hub.docker.com/_/mongo/ mongo: image: mongo:3 volumes: - ./mongo_data:/data/db - /etc/localtime:/etc/localtime # Elasticsearch: https://www.elastic.co/guide/en/elasticsearch/reference/5.5/docker.html elasticsearch: image: elasticsearch:5.6.9 volumes: - ./es_data:/usr/share/elasticsearch/data - /etc/localtime:/etc/localtime environment: - http.host=0.0.0.0 - transport.host=localhost - network.host=0.0.0.0 # Disable X-Pack security: https://www.elastic.co/guide/en/elasticsearch/reference/5.5/security-settings.html#general-security-settings - xpack.security.enabled=false - "ES_JAVA_OPTS=-Xms512m -Xmx512m" ulimits: memlock: soft: -1 hard: -1 mem_limit: 1g # Graylog: https://hub.docker.com/r/graylog/graylog/ graylog: image: graylog/graylog:3.0 volumes: - ./graylog_journal:/usr/share/graylog/data/journal - ./graylog/config:/usr/share/graylog/data/config - /etc/localtime:/etc/localtime environment: # CHANGE ME! - GRAYLOG_PASSWORD_SECRET=somepasswordpepper # Password: admin - GRAYLOG_ROOT_PASSWORD_SHA2=8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918 # 这里需要修改为要暴露的机器的地址 - GRAYLOG_HTTP_EXTERNAL_URI=http://10.121.60.2:9000/ links: - mongo - elasticsearch ports: # Graylog web interface and REST API - 9000:9000 # Syslog TCP - 514:514 # Syslog UDP - 514:514/udp # GELF TCP - 12201:12201 # GELF UDP - 12201:12201/udp # GELF HTTP - 12202:12202 ``` ### 启动 `docker-compose -f docker-compose.yml up -d` 通过http://10.121.60.2:9000/访问web,admin/admin ### 修改配置 - email相关(告警需要) ``` transport_email_enabled = true transport_email_hostname = smtp.163.com transport_email_port = 994 transport_email_use_auth = true transport_email_use_tls = true transport_email_use_ssl = true transport_email_auth_username = 17191093767@163.com transport_email_auth_password = zhim123456 transport_email_subject_prefix = [graylog] transport_email_from_email = 17191093767@163.com transport_email_web_interface_url = http://10.121.60.2:9000 ``` ## 使用 ### 配置添加Inputs > Graylog 节点能够接受数据的类型称之为input,常见的有GELF TCP, GELF UDP, GELF HTTP. 说明:GELF TCP, GELF UDP可以使用同一个端口,HTTP需要另起端口,原因不解释。 - 添加三个input,过程略,tcp,udp端口使用默认的12201,http端口使用12202- 验证 ``` // udp echo -n '{ "version": "1.1", "host": "example.org", "short_message": "A short message info with udp", "level": 1, "_some_info": "foo", "_tag": "test11" }' | nc -w10 -u 10.121.60.2 12201 // tcp echo -n -e '{ "version": "1.1", "host": "example.org", "short_message": "A short message with tcp", "level": 1, "_some_info": "foo" }'"\0" | nc -w10 10.121.60.2 12201 //http curl -X POST -H 'Content-Type: application/json' -d '{ "version": "1.1", "host": "example.org", "short_message": "A short message with http", "level": 5, "_some_info": "foo" }' 'http://10.121.60.2:12202/gelf' ``` ### docker 日志添加到graylog ``` docker run --log-driver=gelf \ --log-opt gelf-address=udp://10.121.60.2:12201 \ --log-opt tag=test1 \ -v /etc/localtime:/etc/localtime \ -it nginx /bin/bash ``` docker-compose.yaml ``` services: mongo: logging: driver: "gelf" options: gelf-address: "udp://10.121.60.2:12201" tag: mongo volumes: - /etc/localtime:/etc/localtime ``` ### java日志直接发送到graylog > 使用logback ``` 10.121.60.2 12201 <!--An example of overwriting the short message pattern--> %ex{short}%.100m <!-- Use HTML output of the full message. Yes, any layout can be used (please don't actually do this)--> %d{MM-dd HH:mm:ss.SSS} [%thread] %-5level \(%F:%L\) - %msg %n true true true true requestId:long <!--Facility is not officially supported in GELF anymore, but you can use staticFields to do the same thing--> tag business-server ``` ## 系统使用 功能菜单说明 - search 日志查询面板 ![](assets/2018-07-10-11-52-07.png) - streams 将日志对象按照filed定义为stream,默认的stream为all messages ![](assets/2018-07-10-11-52-22.png) - alerts 告警相关,选择一个stream对象定义告警条件和通知方式,当stream里面的日志满足条件时候告警并通知 ![](assets/2018-07-10-11-52-35.png) - dashboards 图形面板 ![](assets/2018-07-10-11-52-53.png) - source 告警所在主机 ![](assets/2018-07-10-11-53-37.png) - system 系统配置 ![](assets/2018-07-10-11-53-52.png) ### 查询条件 [官方说明文档](http://docs.graylog.org/en/3.0/pages/queries.html) > 关键字不分大小写 - 单个关键字查询 `ssh` - 多关键字查询,含有ssh or login `ssh login` - 含有某个字符串查询 `ssh login` - 同时含有多个关键字查询 `opening index" AND db` - 根据字段值查询 `tag:couchdb.peer0.org1.ygsoft.com` - 含有多个tag的查询,某条记录只要其中一个字段满足即可 ``` tag: (orderer.ygsoft.com couchdb.peer0.org1.ygsoft.com) or tag: orderer.ygsoft.com couchdb.peer0.org1.ygsoft.com ``` - 含有完全匹配字段 `tag:"ssh login"` - 含有某个字段的记录: `_exists_:tag` - 不含有某个字段的记录: `NOT _exists_:tag` - AND OR `"ssh login" AND source:example.org` `("ssh login" AND (source:example.org OR source:another.example.org)) OR _exists_:always_find_me` - NOT ``` "ssh login" AND NOT source:example.org NOT example.org ``` 注意: AND, OR, and NOT 只能大写. - 通配符 ? 表示单个字符 星号表示0个和多个字符 ``` source:*.org source:exam?le.org source:exam?le.* ``` 注意:默认首字母不能使用通配符,因为这样会使用大量的内存;强行开启修改配置文件`allow_leading_wildcard_searches = true` - 当某关键字不确认顺序的时候使用~ ``` ssh logni~ source:exmaple.org~ 结果可以匹配 ssh login and example.org ``` - 以下字符在使用的时候必须用反斜杠转义 ``` && || : \ / + - ! ( ) { } [ ] ^ " ~ * ? Example: resource:\/posts\/45326 ``` ### 查询条件可以保存下来 使用 save search criteria 按钮
SpringBoot接入GrayLog(分布式日志组件)
m0_67698950的博客
08-03 477
之前我好像是在知乎看到过类似的一段话:一个工具或框架使用优秀,就取决于它的入门的难易。如果一个框架要花很长时间才能弄懂,那可能它做得并没那么好。我其实不会经常去研究各种使用的框架它的细节原理,也不会蒙头就去看源码,没什么必要,毕竟它没出问题啊。像GrayLog这种工具类的框架,如果在公司不是主要的维护者,其实不必太过于纠结他的实现细节,可以从总体上把握他的设计思想。换我建议,真要学习,还得是看它的具体存储(比如Elasticsearch的原理)......
OpenCV4Android开发实录(2): 使用OpenCV3.4.1库实现人脸检测
热门推荐
老蒋也疯狂
01-06 1万+
上一篇文章OpenCV4Android开发实录(1):移植OpenCV3.3.0库到Android Studio大概介绍了下OpenCV库的基本情况,阐述了将OpenCV库移植到Android Studio项目中的具体步骤。本文将在此文的基础上,通过对OpenCV框架中的人脸检测模块做相应介绍,然后实现人脸检测功能。
可视化图表库--goJS详细学习线路
0x8g1T9E-
02-24 3210
1.GoJS简介 GoJS是Northwoods Software的产品。Northwoods Software创立于1995年,专注于交互图控件和类库。旗下四款产品: GoJS 用于在HTML上创建交互图的纯javaSCript库 GoDiagram 用于WinForms的.NET图控件。 GoXam 用于WPF/Silverlight的图控件。(Silverlight是一个跨浏览器的、跨平台的插件, 与flash竞争的富客户端技术) JGo 用于Swing/SW.
灰度图像--图像分割 阈值处理之OTSU阈值
weixin_30588907的博客
07-30 645
学习DIP第55天 转载请标明本文出处:***http://blog.csdn.net/tonyshengtan ***,出于尊重文章作者的劳动,转载请标明出处!文章代码已托管,欢迎共同开发:https://github.com/Tony-Tan/DIPpro 更多图像处理机器学习内容请访问最新网站www.tony4ai.com #开篇废话 废话开始...
可视化图表库--goJS
weixin_30244681的博客
05-18 2854
GoJS是Northwoods Software的产品。Northwoods Software创立于1995年,专注于交互图控件和类库。旗下四款产品: GoJS:用于在HTML上创建交互图的纯javaSCript库 GoDiagram:用于WinForms的.NET图控件。 GoXam:用于WPF/Silverlight的图控件。(Silverlight是一个跨浏览器的、跨平台的...
企业级日志平台新秀Graylog,比ELK轻量多了
qianshanding0708的博客
11-13 1197
更多内容关注微信公众号:fullstack888当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用Nginx对...
Graylog2:从Nginx收集日志并在Grafana中展示与分析
NewTyun的博客
09-02 3874
本文讨论了在Graylog2系统中收集Nginx日志的可能性,以及如何在Grafana中进行展示与分析。本文的所有的操作都在Debian 9.5 OS上完成配置Nginx版本:Nginx...
Graylog2 安装
wjandy0211的博客
04-21 755
GrayLog 服务端需要一些环境依赖 Linux 发行版(如Debian、Ubuntu、或推荐使用的CentOS) Elasticsearch 2.x (2.1.0 or later)graylog2.3以后版本支持了elasticsearch5.x版本,但是不支持6.x版本 MongoDB 2.4 or later (latest stable version is recommende...
告别 ELK ,我用 Graylog,轻量多了...
架构文摘
06-19 480
来源:www.escapelife.site/posts/38c81b25.html后台点击菜单“学习资料”—“书籍”,免费领取《程序员书籍资料一份》 后台回复“5000”,免费领取面试技术学习资料一份当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用Nginx对外提供服务,还是使用专用的日志收集服务ELK呢?这就变...
**灰度日志管理利器—Graylog2:解析、监控与告警一站式解决方案**
gitblog_00076的博客
06-25 575
灰度日志管理利器—Graylog2:解析、监控与告警一站式解决方案 项目地址:https://gitcode.com/gh_mirrors/gr/graylog2 在海量数据时代,高效处理和理解系统产生的日志变得至关重要。不论是运维人员还是开发团队,都需要一个强大且灵活的工具来应对这一挑战。Graylog2作为一款开源的日志聚合与分析平台,凭借其卓越的功能和易用性,在日志管理领域占据了一席之地。 ...
【原】Centos 7.3下Graylog2 安装笔记
weixin_33895016的博客
07-17 252
1.打开graylog2官方文档,地址如下:http://docs.graylog.org/en/2.0/pages/installation/docker.html#configuration 2.从文档中找有用的信息,进行安装,这里采用的安装方式是docker安装,包含的组件有graylog2/server:2.1.2-1,mongo:3,elasticsearch:2.3" 首先,...
Graylog日志系统规划
wjandy0211的博客
04-18 834
日志收集: 设计日志管理解决方案时,必须考虑许多因素,即使在小型组织中,现代环境也会产生大量日志数据,您将需要一种策略来对其进行有效管理。有两种主要方法: “做有需要的人”: 决定要收集哪些事件时,“极简策略”将从“默认否”位置开始。这意味着除非确定的业务用例需要日志,否则您不会收集任何日志。该策略具有一些优势,可通过减少收集的事件数量来降低许可和存储成本。它还最大程度地减少了外部事件产生的...
分布式日志管理平台Graylog功能介绍
wjandy0211的博客
09-09 1389
分布式日志管理平台Graylog功能介绍 为了让大家能够对graylog有一个完整的认识做了一个思维导图。 可以看出graylog的设计是非常全面的,从日志的采集、数据分类管理、数据清洗、调用第三方API都考虑到了。 而且它可以将处理后的stream发送到其他graylog集群进行二次加工,这种分布式的设计理念非常巧妙,只要你有足够的想象力,可以玩儿出很多的花样。 三个不同地区的graylog集群将audit和4xx 5xx 日志汇总到另外一个graylog集群 从左到右展示了g.
Graylog 最简单的架构部署(docker 方案)
junxing2018_wu的博客
06-12 1439
Graylog 简介 Graylog 是一个简单易用、功能较全面的日志管理工具 最简单的架构 Graylog 提供 graylog 对外接口, CPU 密集 Elasticsearch 日志文件的持久化存储和检索, IO 密集 MongoDB 只是存储一些 Graylog 的配置 注意事项:graylog 依赖 mongo、elasticsearch,如果机器配置低可能会启动失败,特别是elasticsearch 安装步骤 准备工作 安装 docker、修改 docker 镜像仓库、安装 pip、
graylog2-server
最新发布
04-26
<think>好的,用户想查找Graylog2服务器的安装、配置或使用指南。我需要先回顾之前的引用内容,看看是否有相关信息的线索。引用1提到Graylog使用MongoDB和Elasticsearch,这可能涉及安装时的依赖项。引用3指出Graylog的配置比ELK简单,界面更易用,可能用户需要具体的步骤指导。 首先,安装部分应该包括MongoDB、Elasticsearch和Graylog本身的安装步骤。用户可能需要知道如何正确安装这些组件,特别是版本兼容性,因为Graylog2可能对依赖的版本有特定要求。需要确认各组件的最新版本或推荐版本。 接下来是配置,MongoDB和Elasticsearch的配置可能涉及基本设置,比如绑定地址、集群配置等。Graylog的配置文件通常位于/etc/graylog/server/server.conf,需要设置密码、密钥、网络接口等。引用中提到Elasticsearch存储数据,MongoDB存储元数据,所以正确配置这两个服务是关键。 启动和验证部分,需要指导用户如何启动各个服务,并检查状态是否正常。Web界面访问通常是HTTP://服务器IP:9000,可能需要防火墙设置开放端口。 日志收集配置部分,用户可能需要将应用日志发送到Graylog,比如通过Log4j配置,如引用2中的源码示例所示,可以提到如何修改Spring Boot应用的日志配置。 此外,用户可能遇到的问题包括端口冲突、服务启动失败、依赖版本不兼容等,需要给出常见问题解决方法。例如,Elasticsearch的heap size设置,或者MongoDB无法启动的问题。 最后,提供参考链接或文档,帮助用户进一步查阅官方指南。引用中的源码地址可能对用户有帮助,可以提及。 需要确保回答结构清晰,分步骤说明,并验证每个步骤的正确性。同时,根据引用内容,强调Graylog的易用性,减少用户的顾虑。可能用户对Graylog2Graylog版本有混淆,需要确认是否Graylog2是旧版本,现在是否推荐使用新版本,但根据问题,还是按照Graylog2来回答,不过可能需要注明版本信息。</think>以下是Graylog2服务器的安装与配置分步指南: ### 一、环境准备 1. **系统要求**: - 推荐使用Ubuntu 20.04/CentOS 7+ - 内存≥4GB,存储空间≥10GB - 开放端口:9000(Web)、12201/514(UDP/TCP日志接收) 2. **依赖组件安装**: ```bash # 安装OpenJDK sudo apt install openjdk-11-jdk # 安装MongoDB(Graylog2需3.6+版本) sudo apt install mongodb-server # 安装Elasticsearch(需6.x版本,与Graylog2兼容) wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.8.23.deb sudo dpkg -i elasticsearch-6.8.23.deb ``` ### 二、Graylog2核心安装 ```bash # 添加Graylog仓库 wget https://packages.graylog2.org/repo/packages/graylog-2.5-repository_latest.deb sudo dpkg -i graylog-2.5-repository_latest.deb sudo apt update && sudo apt install graylog-server ``` ### 三、关键配置(编辑`/etc/graylog/server/server.conf`) 1. **密码与密钥配置**: ```conf password_secret = 生成32位随机字符串 root_password_sha2 = $(echo -n "您的密码" | sha256sum | cut -d' ' -f1) ``` 2. **网络绑定配置**: ```conf rest_listen_uri = http://0.0.0.0:9000/api/ web_listen_uri = http://0.0.0.0:9000/ ``` 3. **Elasticsearch连接**: ```conf elasticsearch_hosts = http://localhost:9200 ``` ### 四、服务启动与验证 ```bash # 启动依赖服务 sudo systemctl start mongodb elasticsearch # 启动Graylog sudo systemctl enable graylog-server && sudo systemctl start graylog-server # 检查状态 journalctl -u graylog-server -f # 查看实时日志 ``` ### 五、日志收集配置示例(SpringBoot集成) 在`logback-spring.xml`中添加GELF输出: ```xml <appender name="GELF" class="de.siegmar.logbackgelf.GelfUdpAppender"> <graylogHost>127.0.0.1</graylogHost> <graylogPort>12201</graylogPort> <layout class="de.siegmar.logbackgelf.GelfLayout"> <originHost>${HOSTNAME}</originHost> <includeFullMdc>true</includeFullMdc> </layout> </appender> ``` (配置示例引用自Graylog官方文档[^2]) ### 常见问题解决 1. **Elasticsearch集群状态异常**: - 检查`/etc/elasticsearch/jvm.options`内存设置: ``` -Xms1g -Xmx1g ``` 2. **Web界面无法访问**: ```bash sudo ufw allow 9000/tcp # 开放防火墙端口 ``` ### 官方文档参考 - [Graylog2完整安装指南](https://docs.graylog.org/docs/install) - [生产环境配置建议](https://docs.graylog.org/docs/configuration)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值