Graylog之基本使用

Posted zlixing

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Graylog之基本使用相关的知识,希望对你有一定的参考价值。

Graylog之基本使用_ide

 

 

 文档:​​https://docs.graylog.org/en/3.0/​

 

Graylog Sidecar是一个轻量级配置管理系统,适用于不同的日志收集器,也称为后端。Graylog节点充当包含日志收集器配置的集中式集线器。在支持的消息生成设备/主机上,Sidecar可以作为服务(Windows主机)或守护程序(Linux主机)运行。进行在不同机器上进行日志的采集并发送到graylog server

在graylog3.0版本以前,称为Graylog Collector Sidecar,在3.0中改为了Graylog Sidecar,在官方文档中有详细安装指导:官方文档入口。这里也参考进行安装。版本对照表如下,首先去github上下载相应的rpm安装包。官方GITHUB下载地址

Sidecar version Graylog server version

 Graylog之基本使用_ide_02

 

 

使用Graylog对日志进行采集操作 

1.添加Beats类型的Input

1)在System/Input中选择Input类型,Beats

 

 Graylog之基本使用_sidecar_03

 

 2)设置Global, 绑定的地址是0.0.0.0  开放的端口是5044  !!! 注意一定要对外开启这个端口,否则会导致无法将日志上传到Graylog服务上

Graylog之基本使用_sidecar_04

 

 

Graylog之基本使用_graylog_05

 

在弹框中编辑这个 Input 的配置:

Title: Input 的标题。这个可以随便写,稍后可以改。

Bind Address: 是否固定监听 IP。比如写成本机内网 IP,或者一个域名,默认 0.0.0.0 代表不固定。如果你网络环境复杂——比如同时从内网公网收集日志的情况下,建议不要 bind,稍后可以改。

Port: 监听哪个端口。也就是 Inputs 开放哪个端口用于接收 Sidecar 的日志推送,稍后可以改。

Recive Buffer Size: 最大允许的接收器缓存大小。相当于一次超过这个数值的日志包推过来会失效,通常来说基本摸不到这个极限,单位 Byte,默认1048576,也就是 1MB,稍后可以改。

No. of worker threads: 这个用于指定有多少个线程在处理日志接收。超大并发量的可以酌情调整,稍后可以改。

[ ] Do not add Beats type as prefix: 这个很重要,一定要打钩,稍后会讲到。

点击 Save 就可以保存 Input 了。以后我们很少会再调到这个配置。

你可以建立多个 Input,不同之间的区别由端口控制。

 

 

 

2.创建graylog-sidecar的token

Graylog之基本使用_sidecar_06

 

 复制token

Graylog之基本使用_sidecar_07

 

 

 

3.在LInux主机上安装sidecar客户端和filebeat

 a)两种安装方式:

    方法一:使用Graylog sidecar存储库配置后yum进行安装

rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-sidecar-repository-1-2.noarch.rpm
yum install graylog-sidecar

    方法二:cpi -ivh 方式本地安装   https://github.com/Graylog2/collector-sidecar/releases

Graylog之基本使用_日志系统_08

 

 

wget https://github.com/Graylog2/collector-sidecar/releases/download/1.0.2/graylog-sidecar-1.0.2-1.x86_64.rpm
rpm -i graylog-sidecar-1.0.2-1.x86_64.rpm

  修改配置文件:

vi /etc/graylog/sidecar/sidecar.yml


1)#server_url: "http://127.0.0.1:9000/api/"
修改为http://192.168.31.80:9000/api/
2)server_api_token: "bavcp8u7sanaottr2lllg2ebogsn6brfgnifa76vm3ec8n64k50"
3)#node_name: ""改为node_name: "192.168.31.194_CentOS7"
4)取消#update_interval: 10的注释update_interval: 10
5)取消#send_status: true 的注释send_status: true

加入启动服务并启动:

graylog-sidecar -service install
systemctl start graylog-sidecar

Graylog之基本使用_sidecar_09

 

 这时候在sidecar总览界面可以看到已经在线

 

  b)filebeat安装

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.6.0-x86_64.rpm

rpm -i filebeat-6.6.0-x86_64.rpm

 

4.配置采集规则

1)在Sidecar Overview界面点击Configuration

Graylog之基本使用_sidecar_10

 

 

2)点击Create Configuration创建配置

Graylog之基本使用_github_11

 

 

Name自定义为CentOS7_collector_cfg 

Configuration color挑选一个颜色

Collector选择为filebeat on Linux类型

Configuration配置文件修改


例如 paths: - /opt/nginx/*.log 也就是采集/opt/nginx/目录下.log结尾的日志

output.logstash: hosts: ["192.168.31.80:5044"] 发给192.168.31.80的5044端口,也就是之前创建的beats 5044接收端口

Graylog之基本使用_sidecar_12

 

 3)配置完成之后, 点击create保存配置

Graylog之基本使用_sidecar_13

 

 

5.下发配置文件

先回到Sidecar Overview界面, 点击Administration管理按钮, 进行配置下发

1)选择采集器,勾选filebeat

2)点击configure, 选择之前创建的配置文件, 进行配置应用下发

Graylog之基本使用_ide_14

 

 

Graylog之基本使用_github_15

 

 

6.验证日志采集是否生效

在Sidecars Overview  点击show messages 查询对应日志 如果存在则证明成功

Graylog之基本使用_sidecar_16

 

 

Graylog之基本使用_日志系统_17

 

 

 

 

参考:


 

以上是关于Graylog之基本使用的主要内容,如果未能解决你的问题,请参考以下文章

部署 Graylog 日志系统 - 每天5分钟玩转 Docker 容器技术(92)

Graylog分析Nginx日志并通过GeoIP2获取访问者IP的地理位置信息

Graylog2进阶之获取nginx来源IP的地理位置信息

Graylog处理docker容器的多行日志之过程记录

Graylog2实现Docker容器日志收集

询问流利的系统日志聚合器