Graylog - pytania początkującego

0

Cześć,

zainteresowałem się ostatnio graylogiem, jako scentralizowanym systemem trzymania, przeglądania, analizy logów.
Im więcej jednak czytam, tym mniej wiem, dlatego chciałbym tu zadać kilka pytań, jako osoba początkująca w tym temacie, z nadzieję, że odpowie ktoś kto uzywał i ma jakieś doświadczenia z Graylogiem.

  1. Mam aplikację, która loguje błędy za pomocą Serilog.
    Czy mogę gromadzić te logi w postaci pliku, a potem w jakiś sposób "uploaduje" się te pliki do Grayloga? Czy może log powinien od razu ostać wysłany przez API grayloga?

  2. Graylog server, to osobny serwerek na Linuxie. Na innych serwerach np Windowsowych działają aplikacje. W jaki sposób można sprawić by logi z serwerów Windowsowych oraz informacje takie jak dostepność aplikacji , ruch i inne rzeczy, które mogą przydać się np adminon też trafiały do grayloga?

  3. Czym różni się Graylog darmowy od Enterprise? Czy Enterprise jest płatny i gdzie można znaleźć cennik?

  4. Do czego przy graylogu potrzebny jest Elasticsearch?

Będę mega-wdzięczny za wszelkie informacje!

0
  1. Z rzadka "wysyłasz plik". Najczęściej spotykane przeze mnie opcje to:
  • logujesz do pliku i do Grayloga
  • logujesz do jakiejś usługi (np. sysloga), który zarówno zapisuje do pliku jak i do Grayloga
  • zapisujesz do pliku i masz jakiś watcher ustawiony na ten plik, który przy zmianie wysyła dane
  1. Musisz je wysłać do Grayloga. Protokół komunikacji jest opisany w dokumentacji.
  2. Masz porównanie w tabelce. Wycena jest robiona indywidualnie.
  3. To jest główna DB gdzie są składowane logi w Graylogu. Mongo/Postgres jest używany tylko do zbierania metadanych.
0

Super!
Bardzo Ci dziękuję za odpowiedź!

Powiedz mi jeszcze czy dobrze rozumiem.
Mam np 3 aplikacje ma serwerach z Windows.
Stawiam osobny serwer na Linuxie z Graylogiem.

A aplikacjach używam sobie jakiegoś logera (np Serilog), który strzela z komunikatem logowanym do Grayloga. Graylog wrzuca to do swojej bazy Elasticsearcha.
Przez Web Interface Grayloga mogę te logi przeglądać.

Czy jeśli chcę sobie zarchiwizować logi np starcze niż 30 dni, mogę to zrobić ? Chodzi mi o to, że chciałbym np wyjąć je z bazy wrzucić do pliku textowego i przenieść go gdzieś na inny serwer.
Tak by ten z logami bieżącymi nie puchł nadmiernie.

Co w graylogu mogę jeszcze skłądować? Znaczy logi aplikacji, systemowe, co jeszcze? Gdybym chciał kogoś przekonać do wdrożenia tego (np adminów itp), to na co mogę się powołać?

0

Tak możesz to zrobić jako dump z ES, na 9000% masz to w dokumentacji.

To admini powinni przekonywać developerów a nie developerzy adminów do takiego rozwiązania.

Co do danych to do Grayloga wrzucasz wszystko co jest logami, oprócz tego polecam postawić coś do gromadzenia metryk, przykładowo Prometheus. Tu masz artykuł, który tłumaczy czym jest różnica między logami a metrykami. Tu masz jeszcze mój opis, który wyjaśnia różnicę między 3 filarami obserwowalności.

1 użytkowników online, w tym zalogowanych: 0, gości: 1