graylog

最新推荐文章于 2024-08-19 20:50:40 发布
最新推荐文章于 2024-08-19 20:50:40 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: # graylog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goodlife111/article/details/91974791
版权

日志收集需要考虑的点

  • 日志源:需要收集那些日志
    graylog支持以下日志收集插件
    Syslog (TCP, UDP, AMQP, Kafka)
    GELF (TCP, UDP, AMQP, Kafka, HTTP)
    AWS (AWS Logs, FlowLogs, CloudTrail)
    Beats/Logstash
    CEF (TCP, UDP, AMQP, Kafka)
    JSON Path from HTTP API
    Netflow (UDP)
    Plain/Raw Text (TCP, UDP, AMQP, Kafka)
  • 日志保存时间
    graylog日志保存在elasticsearch中,可以通过stream–>indecis针对不同的日志源设置保存时间
  • 存储空间
  • 日志用处
  1. 分析 dashboard
  2. 告警
  3. 输出

简介
一款log收集方案,存储用的mongodb,搜索引擎使用elasticsearch提供,自身集成web端,最新版本为3.0版本.
功能:日志收集、告警(REST API为扩展安全预警策略提供各种方便)、分析、输出

文档地址
官方文档 http://docs.graylog.org/en/3.0/index.html
graylog-sidecar下载地址 https://github.com/Graylog2/collector-sidecar/releases

日志收集端
各种beats,比如filebeat,去读取日志收集
Springboot等Java项目的日志:可以直接在项目配置input地址,不需要去读取日志文件收集

日志数据清理
这里提供了三种方式进行限制,

  1. 限定日志数据量,数据量达到是便会自动删除最旧的历史数据,以维持数据量恒定
  2. 限定大小,指定数据文件总容量大小
  3. 限定时间,删除超时的日志数据。 可根据自己的实际情况进行设置

搜索
文档地址 http://docs.graylog.org/en/3.0/pages/queries.html#

仪表盘
文档地址 http://docs.graylog.org/en/3.0/pages/dashboards.html

stream和index set

  • index set:索引
    针对不同source日志创建不同规则的索引,比如 nginx日志保存1个月,java日志保存1周等.
  • stream
  1. 创建stream(流)来讲收到的日志进行匹配,将匹配的日志存入新的索引.
  2. 进行告警处理

input
通常是我们第一件需要做的事情,定义接收日志的ip+端口;还可以加入静态字段
在这里插入图片描述
Extractors
提取器,作用于每一条message上,可以将某个字段(比如message中某个字段)提取出来,形成新的字段加入到该message上
位置:input --> extractors
文档位置 http://docs.graylog.org/en/3.0/pages/extractors.html

pipe
Graylog的新处理管道插件允许在消息流经Graylog时更灵活地路由,列入黑名单,修改和丰富消息
管道和规则不是预构建代码的配置,因为提取器和流规则是

  • pipe:分stage(阶段),并且具有优先级,rule运行时是按照其优先级执行的,和其定义顺序无关
  • rule:规则是处理管道的基石。它们包含有关如何更改,丰富,路由和删除消息的逻辑

文档地址 http://docs.graylog.org/en/3.0/pages/pipelines/rules.html

孔小发
关注
专栏目录
graylog-plugin-collector:Graylog的收集器插件
05-15
Graylog的收集器插件 Graylog Collector是一个轻量级的Java应用程序,允许您将数据从日志文件转发到Graylog集群。 收集器可以本地读取本地日志文件和Windows事件,然后可以使用通过网络转发日志消息。 :warning: Graylog Collector Sidecar已弃用,可以用替换 所需的Graylog版本: 2.0及更高版本 安装 然后将.jar文件放在Graylog插件目录中。 默认情况下,plugin目录是相对于您的graylog-server目录的plugins/文件夹,可以在您的graylog.conf文件中进行配置。 重新启动graylog-server ,您就完成了。 发展 通过使用热重载,您可以极大地改善插件的Web界面部分的开发体验。 为此,请执行以下操作: git clone https://github.com/Graylog2/gr
graylog-plugin-aws:几个捆绑的Graylog插件,可与CloudTrail和FlowLogs等不同的AWS服务集成
02-03
适用于Graylog的AWS插件 该插件提供以下Graylog模块: 网络接口连接日志的输入插件。 注意:不建议使用此输入,而建议使用中的新。 输入插件常规CloudWatch日志。 注意:不建议使用此输入,而建议使用中的新。 配置更改日志的输入插件。 该插件提供以下功能: AWS日志输入:从与特定匹配的特定AWS 读取CloudWatch日志流。 AWS Flow Logs输入:读取VPC,子网或网络接口的网络流。 AWS实体转换:查找AWS实体的数据。 Graylog版本兼容性 插件版本 Graylog版本 3.0.x 3.0.x 2.5.x 2.5.x 2.4.x
日志审计Graylog 使用教程-kafka收取消息
最新发布
qq_41167620的博客
08-19 1654
Graylog 常用于 IT 运维、安全监控、故障排查等场景,通过对日志数据的集中管理和分析,帮助企业提高系统的可观测性和问题解决能力。产生的告警内容,我们自定义字段“renyuan”他的value通过映射表username关联到的。我们创建映射表时,通过username查找department内容,并添加到告警自定义字段中。他作为动态数据获取,比如IP 地理位置等,根据日志某个字段的信息从XX库找到对应的数据。这里内容是kafka生产的消息,只作为日志,可以对每个字段配置提取。
graylog-plugin-metrics-reporter:Graylog指标报告器插件
02-03
Graylog Metrics Reporter插件 一组插件,用于向其他系统报告内部Graylog指标。 安装 将所需指标报告程序插件的JAR文件放入每个Graylog节点的Graylog插件目录中,并将相关配置设置添加到其配置文件中。 安装指标报告程序插件并添加配置设置后,需要重新启动Graylog。 每个指标报告程序插件的特定设置已记录在相应的README文件中: 发展历程 该项目正在使用Maven 3,并且需要Java 8或更高版本。 该插件将需要Graylog 3.0.0或更高版本。 克隆此存储库。 运行mvn package以构建所有插件的JAR文件。 可选:运行mvn jdeb:jdeb和mvn rpm:rpm分别创建DEB和RPM软件包。 将生成的JAR文件从“目标”目录复制到Graylog服务器插件目录。 重新启动Graylog服务器。 执照 版权所有(c)2016 Graylog,Inc. 该库是根据GNU通用公共许可证版本3.0许可的。 有关完整的许可证文本,请参见或此存储库中的LICENSE.txt文件。
graylog-logstash-tcp-output:Graylog插件,用于将消息转发到Logstash TCP输入
05-17
Graylog TcpLogstashOutput插件 该插件旨在将日志消息转发到logstash的tcp输入。 input { tcp { port => "12300" codec => "json" data_timeout => -1 } } output { file { codec => "json_lines" path => "archive.log" } } 入门 该项目正在使用Maven 3,并且需要Java 7或更高版本。 该插件将需要Graylog 1.0.0或更高版本。 克隆此存储库。 运行mvn package以构建一个JAR文件。 将目标目录中生成的JAR文件复制到您的Graylog插件目录中。 重新启动Graylog。 配置 Graylog配置 查看graylog.conf中的以下属性,并在
如何使用Graylog来收集日志?
Docker的专栏
11-25 2865
当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用 Nginx 对外提供服务,还是使用专用的日志收集服务 ELK ...
graylog-docker:官方Graylog Docker映像
04-29
Graylog Docker映像 Graylog的最新稳定版本是4.0.6,该版本带有标签4.0或4.0.6-1 。 在您的生产环境中使用稳定的4.0版本。 请查看以获取完整的安装和配置说明。 什么是GraylogGraylog是集中式日志记录解决方案...
go-graylog:用于Go的Graylog API客户端和用于Graylog的terraform提供程序
02-04
注意:请使用terraform-provider-graylog / terraform-provider-graylog 现在,我们发布并开发了作为go-graylog的后继go-graylog 。 请参阅以下文档和公告问题。 API客户端 如果使用Graylog v3,请使用client....
graylog-server安装脚本
11-11
该安装脚本是由ansible-playbook所编写的,将本地的rpm保存在file目录下,然后创建hosts文件,添加对应的graylog服务器组,执行ansible--playbook -i hosts graylog.yml即可完成部署。该部署脚本已上生产环境使用,...
graylog-sidecar部署脚本
11-11
该脚本是由shell语言编写完成,主要用于实现一键部署graylog-sidecar组件,其中包含了组件的cgroup限制、sidecar.yml文件的自动修改、开源组件的自动下载、完成部署时的提示及部署时长显示。并设置了该组件的...
graylog-server-3.3.9-1.noarch.zip
01-04
Graylog 3.3.9 安装详解》 在IT行业中,日志管理和分析是维护系统稳定、排查故障及提升效率的关键环节。Graylog作为一个开源的日志管理平台,因其强大的日志收集、处理、搜索和可视化能力,被广泛应用于各种规模...
graylog-plugin-netflow:[已弃用] Graylog NetFlow插件
02-04
停产通知 该项目已合并到,请参阅 对于任何功能请求或错误报告,请使用的。 用于Graylog的NetFlow插件 该插件提供了NetFlow UDP输入,以充当从Flow导出程序接收数据的Flow收集器。 每个收到的流将被转换为Graylog消息。 所需的Graylog版本: 2.3.0及更高版本 支持的NetFlow版本 插件版本现在支持NetFlow V9。 它可以支持IPv6地址而不进行转换,并且可以处理来自固定V5格式的所有字段。 此外,此插件支持CISCO ASA 5500中的事件,包括防火墙和路由事件。 请注意,在v9报告中,典型的syslog报告存在大量重复。 安装 从Gr
graylog-plugin-mqtt:适用于Graylog的MQTT输入插件
05-01
适用于Graylog的MQTT插件 这是一个输入插件,使您可以订阅代理并索引所有已发布的消息。 所需的Graylog版本: 2.4.0及更高版本 安装 然后将.jar文件放在Graylog插件目录中。 默认情况下,plugin目录是相对于您的graylog-server目录的plugins/文件夹,可以在您的graylog.conf文件中进行配置。 重新启动graylog-server ,您就完成了。 建造 该项目正在使用Maven 3,并且需要Java 8或更高版本。 您可以使用mvn package构建插件(JAR)。 可以分别使用mvn jdeb:jdeb和mvn rpm:rpm来构建DEB和RPM软件包。 插件发布 我们正在使用Maven发布插件: $ mvn release:prepare [...] $ mvn release:perform 这将设置版本号,创建标
Graylog Code Link-crx插件
04-02
语言:中文 (简体) Link Graylog and code files! 在 Graylog 浏览 log 时,点击右侧按钮即可跳转到这条 log 的代码位置
graylog-drool-rules:在Graylog服务器中使用一些Drool规则来处理GELF消息
05-04
Graylog-Drool规则 在Graylog服务器中使用一些Drool规则来处理GELF消息
Graylog-OPNsense_Extractors:用于Graylog的JSON提取器以解析OPNsense防火墙日志
05-23
Graylog-OPNsense_Extractors Graylog的提取程序以解析OPNsense防火墙日志。 应该能够解析大多数所有IPv4和IPv6消息。 19年8月13日更新,以支持OPNsense消息格式更改。 18年6月21日更新至IPv6 ICMP。 OPNsense发送“ ICMPv6”,删除不区分大小写的正则表达式,以便在重负载下进行更好的处理。
Graylog
wjandy0211的博客
04-18 346
日志监控系统 Graylog是一个开源的日志聚合、分析、审计、展现和预警工具。功能上和ELK类似,但又比ELK要简单,依靠着更加简洁,高效,部署使用简单的优势很快受到许多人的青睐。今天就跟着小live来了解一下Graylog的安装部署吧! graylog采用单机部署,,采用最小化部署,架构如下 基本架构 集群部署 从上图可以看出大体上包括Elasticsearc...
Graylog 部署文档_graylog部署,2024年最新网络安全快速转战Kotlin教程
2301_82242296的博客
04-17 1351
添加 input 测试收集是否正常,system→inputs→select input→Raw/Plaintext TCP→Launch new input,选择 Node,添加 Title,点击 Save 即可。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
Graylog介绍
Qiuoooooo的博客
02-08 7818
Graylog是强大的日志管理、分析工具。它基于 Elasticsearch, Java和MongoDB。 Graylog可以收集监控多种不同应用的日志。但是为了示范说明,我只收集syslog。并且,我将会把用到的组件全部安装到一个单独的服务器上。对于大型、生产系统你可以把组件分开安装在不同的服务器上,这样可以提高效率。   Graylog的组件 Graylog有4个基本组
SpringBoot集成Graylog教程详解
资源摘要信息: "SpringBoot与Graylog集成使用教程" 在大数据时代,日志管理变得日益重要,Graylog作为一个强大的开源日志管理工具,它能够收集、分析和聚合日志数据,并提供了一个界面,方便用户搜索和可视化日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值