Graylog — система централизованного управления логами (SIEM-lite). Агрегирует логи с серверов, приложений, сетевого оборудования. Предоставляет мощный поиск по логам, дашборды, алерты по паттернам. Хранилище — Elasticsearch или OpenSearch.
Архитектура
- Graylog Server — принимает, обрабатывает и сохраняет логи. Java-процесс.
- Elasticsearch/OpenSearch — индексация и полнотекстовый поиск логов.
- MongoDB — хранит конфигурацию, пользователей, метаданные.
- Beats/NXLog/rsyslog — агенты сбора логов на серверах.
Источники логов
# Настроить rsyslog для отправки в Graylog (UDP Syslog input)
# /etc/rsyslog.conf
*.* @graylog.example.com:514;RSYSLOG_SyslogProtocol23Format
# Filebeat для файловых логов
# /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
paths: [/var/log/nginx/access.log]
output.logstash:
hosts: ["graylog.example.com:5044"]Graylog vs ELK Stack
- Graylog — проще настройка, единое приложение, бесплатный Open edition.
- ELK (Elasticsearch + Logstash + Kibana) — более гибкий, но 3 отдельных компонента.
- Loki + Grafana — лёгкая альтернатива, без индексирования содержимого.
История
Graylog создан Ленаром Теугель (Lennart Koopmann) в 2010 году в Гамбурге. Первоначально называлось GELF (Graylog Extended Log Format). Open-source релиз — 2012. Graylog Inc. основана в 2014 году. Graylog 5.0 — 2022 год с поддержкой OpenSearch как альтернативы Elasticsearch.
Связь с хостингом
На VDS централизация логов помогает диагностировать проблемы и выявлять инциденты безопасности. Graylog с rsyslog-агентами собирает логи Nginx, PHP-FPM, MySQL, SSH. Алертинг по паттернам (Failed login, 500 errors) автоматически уведомляет о проблемах.
История Graylog
Graylog (изначально GELF — Graylog Extended Log Format) создан Лен Брэдли в 2009 году в Германии. Первый публичный релиз — 2010 год. Graylog 2.0 вышел в 2016 году с переписанным хранилищем на Elasticsearch. Graylog 4.0 (2021) добавил интеграцию с OpenSearch. Graylog Open (open-source) распространяется под Server Side Public License (SSPL). Конкурирует с ELK Stack (Elasticsearch + Logstash + Kibana) и Grafana Loki.
Graylog vs ELK Stack vs Loki
| Параметр | Graylog | ELK Stack | Grafana Loki |
|---|---|---|---|
| Поиск по логам | мощный UI | Kibana | LogQL |
| Сложность настройки | средняя | высокая | низкая |
| Требования к RAM | 4+ GB | 8+ GB | 1+ GB |
| Хранение | Elasticsearch/OpenSearch | Elasticsearch | объектное хранилище |
Практическое применение Graylog на хостинге
Graylog получает логи через GELF-протокол, Syslog (UDP 514/TCP 514), Beats. На VPS логи Nginx, приложений, Docker-контейнеров централизованно собираются в Graylog. Потоки (Streams) и алерты (алертинг) уведомляют при появлении ошибок 500 или аномальных паттернов. Для малых инфраструктур (<5 серверов) может быть избыточным — рассмотрите Grafana Loki.
Типичные ошибки
- Запуск на сервере с менее 4 GB RAM — Graylog + Elasticsearch требуют существенных ресурсов.
- Не настроены retention policies в Elasticsearch — диск заполняется через несколько недель.
- Открытый GELF-порт (12201) без аутентификации — любой может вливать данные в Graylog.