Graylog——日志聚合工具的后起之秀

时间:2021-01-22 19:15:09

日志管理日志管理工具:收集,解析,可视化

Elasticsearch - 一个基于Lucene的文档存储,主要用于日志索引、存储和分析。

Fluentd - 日志收集和发出

Flume -分布式日志收集和聚合系统

Graylog2 -具有报警选项的可插入日志和事件分析服务器

Heka -流处理系统,可用于日志聚合

Kibana - 可视化日志和时间戳数据

Logstash -管理事件和日志的工具

Octopussy -日志管理解决方案(可视化/报警/报告)

Graylog与ELK方案的对比:

- ELK

—— Elasticsearch + Logstash + Kibana

- Graylog

—— Elasticsearch + Graylog Server + Graylog Web

之前试过Flunted + Elasticsearch + Kibana的方案,发现有几个缺点:

1. 不能处理多行日志,比如Mysql慢查询,Tomcat/Jetty应用的Java异常打印

2. 不能保留原始日志,只能把原始日志分字段保存,这样搜索日志结果是一堆Json格式文本,无法阅读。

3. 不复合正则表达式匹配的日志行,被全部丢弃。

本着解决以上3个缺点的原则,再次寻找替代方案。

首先找到了商业日志工具Splunk,号称日志界的Google,意思是全文搜索日志的能力,不光能解决以上3个缺点,还提供搜索单词高亮显示,不同错误级别日志标色等吸引人的特性,但是免费版有500M限制,付费版据说要3万美刀,只能放弃,继续寻找。

最后找到了Graylog,第一眼看到Graylog,只是系统日志syslog的采集工具,一点也没吸引到我。但后来深入了解后,才发现Graylog简直就是开源版的Splunk。

我自己总结的Graylog吸引人的地方:

1. 一体化方案,安装方便,不像ELK有3个独立系统间的集成问题。

2. 采集原始日志,并可以事后再添加字段,比如http_status_code,response_time等等。

3. 自己开发采集日志的脚本,并用curl/nc发送到Graylog Server,发送格式是自定义的GELF,Flunted和Logstash都有相应的输出GELF消息的插件。自己开发带来很大的*度。实际上只需要用inotify_wait监控日志的MODIFY事件,并把日志的新增行用curl/nc发送到Graylog Server就可。

4. 搜索结果高亮显示,就像google一样。

5. 搜索语法简单,比如: source:mongo AND reponse_time_ms:>5000 ,避免直接输入elasticsearch搜索json语法

6. 搜索条件可以导出为elasticsearch的搜索json文本,方便直接开发调用elasticsearch rest api的搜索脚本。

Graylog开源版官网: https://www.graylog.org/

来几张官网的截图:

1. 架构图

Graylog——日志聚合工具的后起之秀