graylog由Graylog Collector -> Graylog Server -> Graylog Web 三部分组成,在官方给出的参考文档(http://docs.graylog.org/)中,给出的推荐方案是:MongoDB + elasticsearch + graylog的方案。
建议与考虑:
在为Graylog扩展资源时,有一些经验法则:
• Graylog节点应重点关注CPU功能。这些还可以为浏览器提供用户界面。
• Elasticsearch节点应具有尽可能多的RAM和可以获得的最快磁盘。一切都取决于此处的I / O速度。
• MongoDB正在存储元信息和配置数据,不需要很多资源。
还请记住,提取的消息仅存储在Elasticsearch中。如果您在Elasticsearch集群中丢失了数据,则消息消失了-除非已创建索引的备份。
1.1 安装部署图
最小安装:
生产环境安装:
各个组件功能简介
1.2 graylog的优缺点:
1.2.1 graylog的优点
自己开发采集日志的脚本,并用curl/nc发送到Graylog Server,发送格式是自定义的GELF,Flunted和Logstash都有相应的输出GELF消息的插件。自己开发带来很大的自由度。例如:实际上只需要用inotifywait监控日志的modify事件,并把日志的新增行用curl/netcat发送到Graylog Server就可。
搜索结果高亮显示
采集原始日志,并可以事后再添加字段
用户以及权限管理
支持邮件报警
开源,支持不同程度的扩展,官方提供:https://marketplace.graylog.org/
1.2.2 graylog的缺点
网上的参考资料较少,没有ELK多,很多都需要看官方文档然后翻译摸索
1.3 部署
版本号:
jdk: 1.8
elasticsearch: 6.3.2
graylogserver:3.2.6
mongo:3.6.3
graylogsidecar:1.0.2
filebeat: 6.2.3
1.3.1 ES集群的部署
较为简单,此处不在多说
1.3.2 Mongo集群的部署
较为简单,此处不在多说
1.3.3 graylogserver部署
获取rpm安装包