GRAYLOG 3.1.3（二）— 架构、特性、docker-c

《CentOs7安装 GRAYLOG 3.1.3-最快上手》

graylog英文文档

架构

• Graylog节点应重点关注CPU，在Web界面可以查看。
  💎 Elasticsearch节点应具有尽可能多的RAM和可以获得的最快磁盘，因为数据存取决于I/O速度。
  💎 MongoDB正在存储元信息和配置数据，不需要很多资源。
  💎 如果不配置Elasticsearch持久化或都创建索引备份，否则会存在丢失的风险。

• 最基本（小）架构

  
  最基本架构

• 生产安装架构
  🙋这架构主要用于较大生产环境的设置。Graylog节点进行负载均衡。负载平衡器可以通过Graylog REST API上的HTTP对Graylog节点执行ping操作，以检查它们是否仍在运行并将死节点从群集中删除。

  
  生产安装架构

特性

💪安全
收集所有数据，进行更深层次的挖掘，并迅速地发现网络安全威胁。
💪使用方便
借助简单直观的UI更快地获取信息-探索，警报和报告数据
💪可扩展性
跨多个日志源，数据中心和地理位置引入TB级数据，并具有在数据中心，云或两者中水平扩展的能力
💪减负
以一半的成本分析一切：不必觉得您必须选择最重要的数据，尤其是在安全性或合规性方面。我们可扩展的业务模型使您可以根据需要引入所有数据。

cocker-compose配置方式

• 可以通过环境变量设置每个配置选项。 只需在参数名称前添加GREYLOG_并将其全部大写即可

修改Syslog TCP

网络设备使用syslog协议的udp514端口进行发送日志，所以修改docker-compose中的Syslog TCP端口

持久化数据配置

version: '2'
services:
  # MongoDB: https://hub.docker.com/_/mongo/
  mongodb:
    image: mongo:3
    volumes:
      - mongo_data:/data/db
  # Elasticsearch: https://www.elastic.co/guide/en/elasticsearch/reference/6.x/docker.html
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch-oss:6.8.2
    volumes:
      - es_data:/usr/share/elasticsearch/data
    environment:
      - http.host=0.0.0.0
      - transport.host=localhost
      - network.host=0.0.0.0
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ulimits:
      memlock:
        soft: -1
        hard: -1
    mem_limit: 1g
  # Graylog: https://hub.docker.com/r/graylog/graylog/
  graylog:
    image: graylog/graylog:3.1
    volumes:
      - graylog_journal:/usr/share/graylog/data/journal
    environment:
      # CHANGE ME (must be at least 16 characters)!
      - GRAYLOG_PASSWORD_SECRET=somepasswordpepper
      # Password: admin
      - GRAYLOG_ROOT_PASSWORD_SHA2=8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
      - GRAYLOG_HTTP_EXTERNAL_URI=http://192.168.10.108:9000/
    links:
      - mongodb:mongo
      - elasticsearch
    depends_on:
      - mongodb
      - elasticsearch
    ports:
      # Graylog web interface and REST API
      - 9000:9000
      # Syslog TCP
      - 1514:1514
      # Syslog UDP
      - 1514:1514/udp
      # GELF TCP
      - 12201:12201
      # GELF UDP
      - 12201:12201/udp
# Volumes for persisting data, see https://docs.docker.com/engine/admin/volumes/volumes/
volumes:
  mongo_data:
    driver: local
  es_data:
    driver: local
  graylog_journal:
    driver: local

界面配置

• 创建新Input（输入点）

  
  

• 创建日志项-GELF UDP

  
  

• 配置日志

  
  

• 点击完成后如下，已经默认启动

  
  
  

  点击：Show received messages,有日志如下图

  
  
  点击：Show received messages,无日志如下图
  

看板（仪表板）配置

• 创建看板（仪表板）

  
  dashboard

• 给看板加入数据，可以加入以下数据
  ☠ 搜索结果计数
  ☠ 搜索结果直方图
  ☠ 统计值
  ☠ 字段值图
  ☠ 堆积图
  ☠ 快速价值结果
  在inputs页，点击对应的input项

  
  image.png
  

  然后可以把想要在dashboard中展示的图表加入

  
  
  
  结果：
  
• sources界面