Graylog
Getting Started
Ich liebe Docker, denn damit funktioniert der Start innerhalb weniger Sekunden (http://docs.graylog.org/en/2.2/pages/installation/docker.html). Folgenden Inhalt als docker-compose.yml
speichern
version: '2'
services:
mongo:
image: "mongo:3"
elasticsearch:
image: "elasticsearch:2"
command: "elasticsearch -Des.cluster.name='graylog'"
graylog:
image: graylog2/server:2.2.1-1
environment:
GRAYLOG_PASSWORD_SECRET: somepasswordpepper
GRAYLOG_ROOT_PASSWORD_SHA2: 8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
GRAYLOG_WEB_ENDPOINT_URI: http://127.0.0.1:9000/api
depends_on:
- mongo
- elasticsearch
ports:
# Web UI
- "9000:9000"
# Input channel
- "5555:5555"
und danach ein docker-compose
. Wenige Sekunden später (nicht ungeduldig sein - es kann bis zu 30 Sekunden dauern) ist die UI per http://localhost:9000
erreichbar und man kann sich mit admin:admin
einloggen.
Die Daten werden auch erstmal nur im Container persistiert ... sind also weg, wenn man man den Container löscht. Im Abschnitt Automatisiertes Docker Deployment werde ich einige Verbesserungen beschreiben.
Zunächst muß man Graylog einen Input-Kanal verpassen (System - Inputs), über den Nachrichten reinkommen können. Am besten verwendet man einen ganz einfachen Plaintext TCP oder Plaintext UDP Inputkanal. Dann kann man per Netcat über die Konsole Nachrichten zum Inputkanal schicken:
echo "first log message" | nc -w 0 -u 127.0.0.1 5555
... und voila - kurze Zeit später - findet man den Eintrag über die Suche im Graylog.
Inputtypen
Folgende Inputmöglichkeiten stehen out-of-the-box zur Verfügung:
- Plaintext TCP, UDP, Kafka, AMQP
- Syslog TCP, UDP, Kafka, AMQP
- GELF TCP, UDP, Kafka, AMQP, HTTP
- Beats
Man kann in Graylog dann ein entsprechendes Parsing definieren und vornehmen - ich bin mir aber nicht sicher wie performant und komfortabel das ist. Wahrscheinlich ist es besser, Ansätze wir Fluentd zu verwenden oder gleich JSON-basierte Log-Daten zu schicken (z. B. GELF-Format).
GELF-Protocol - Graylog Extended Log Format
Das GELF-Format ist ein sehr einfaches JSON-Format. Das GELF-Protocol ist ein Protokoll, das die Nutzdaten im GELF-Format verschickt.
Anwendungslogging
Microservices sind derzeit ein Hype, der die Notwendigkeit eines zentralen Log-Reportings erhöht. Niemand kann die vielen Log-Files auswerten, wenn sie nicht irgendwo gesammelt werden. Hier haben sich Ansätze wie Graylog und ELK etabliert, die ein komfortable UI Schnittstelle (und REST-Schnittstellen) zur Auswertung der Logs bietet.
Graylog hat mit GELF sogar ein eigenes Log-Format aus der Taufe gehoben und bietet für verschiedenen Programmiersprachen APIs an. Über GELF lassen sich auch Logs von Windows-Maschinen integrieren.
Um Java-Logs ins Graylog zu bekommen, muß man an der Anwendung i. a. nichts verändert. Meistens verwenden die Anwendnungen eh schon Java-Logging und hierfür gibt es den sog. GelfAppender
, den man in die log4j Konfiguration integriert:
<appender name="GELF" class="me.moocar.logbackgelf.GelfAppender">
<graylog2ServerHost>localhost</graylog2ServerHost>
<graylog2ServerPort>5559</graylog2ServerPort>
<useLoggerName>true</useLoggerName>
<useThreadName>true</useThreadName>
<messagePattern>%m%n%ex{full}</messagePattern>
<shortMessagePattern>%m%.-250rEx{short}</shortMessagePattern>
<includeFullMDC>true</includeFullMDC>
<hostName>localhost</hostName>
<staticAdditionalField>anyfield:anyvalue</staticAdditionalField>
</appender>
Anschließend benötigt Graylog aber noch einen GELF- Inputkanal (System - Inputs), der an den o. a. Port 5559
gebunden wird.
Automatisiertes Docker Deployment
Mit dem Getting Started Ansatz bekommt man zunächst nur einen leeren Graylog Server zum Laufen. Man will die Konfiguration aber nicht immer wieder erneuern, wenn man den Container neu aufsetzt (z. B. wegen eines Image Updates). Außerdem nöchte man die Konfiguration evtl. unter Versionskontrolle stellen.
Konfiguration
Graylog bietet die Möglichkeit sog. Content-Packages zu exportieren/importieren ... und das bereits beim Startup oder aber auch während des laufenden Betriebs. Auf diese kann man auch leicht Konfigurationen zwischen Servern austauschen.
Für den automatischen Import eines Content-Packages (hier my-contentPack.json
) beim Serverstart muß folgende Konfiguration (graylog.conf
) vorgenommen werden:
content_packs_loader_enabled = true
content_packs_dir = /usr/share/graylog/data/contentpacks
content_packs_auto_load = grok-patterns.json, my-contentPack.json
Alternative: MongoDB dump/restore
Graylog verwendet MongoDB als Storage für die Konfiguration. Dementsprechend kann man die gesamte (!!!) Konfiguration sichern (mongodump --out /dump/ --db graylog
) und wiederherstellen (mongorestore --db=graylog /dump/graylog
).
REST API
Die REST API kann bei einigen Dingen sehr hilfreich sein. Über System - Nodes - API browser gelangt man zu einem Swagger-UI, mit dem sich die REST-Schnittstelle aus dem Browser heraus bedienen läßt.