一、Graylog简介与准备工作

Graylog是一款开源的日志管理工具，具有以下核心优势：

• 支持多种日志输入方式（Syslog、GELF、Beats等）
• 提供强大的搜索和过滤功能
• 具备可视化仪表板和告警机制
• 可扩展的集群架构

系统要求：

我们以Ubuntu 20.04 LTS为例，推荐配置：

• CPU：4核以上
• 内存：8GB以上
• 存储：50GB以上（根据日志量调整）
• 开放端口：9000（Web界面）、12201（GELF输入）、514（Syslog）

二、安装Graylog服务端

1. 安装Java环境

sudo apt update
sudo apt install openjdk-11-jre-headless

2. 安装MongoDB

sudo apt install -y mongodb-server
sudo systemctl enable mongodb
sudo systemctl start mongodb

3. 安装Elasticsearch

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update && sudo apt install elasticsearch
sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

4. 安装Graylog

wget https://packages.graylog2.org/repo/packages/graylog-4.3-repository_latest.deb
sudo dpkg -i graylog-4.3-repository_latest.deb
sudo apt update && sudo apt install graylog-server graylog-enterprise-plugins

三、配置Graylog服务

1. 生成密码和密钥

# 生成root密码
echo -n "yourpassword" | sha256sum
# 生成加密密钥
pwgen -N 1 -s 96

2. 修改配置文件

编辑/etc/graylog/server/server.conf：

password_secret = 上一步生成的96位密钥
root_password_sha2 = 上一步生成的密码哈希值
http_bind_address = 0.0.0.0:9000
elasticsearch_hosts = http://localhost:9200
mongodb_uri = mongodb://localhost/graylog

3. 启动Graylog

sudo systemctl enable graylog-server
sudo systemctl start graylog-server

四、配置日志输入和客户端

1. 通过Web界面配置

访问http://your-server-ip:9000，使用admin和您设置的密码登录。

2. 创建Syslog输入

1. 进入System → Inputs
2. 选择"Syslog UDP"
3. 设置端口为514（需确保防火墙开放）
4. 点击"Save"

3. 客户端配置（以rsyslog为例）

在客户端服务器上编辑/etc/rsyslog.conf：

*.* @your-graylog-server-ip:514

重启服务：

sudo systemctl restart rsyslog

五、高级配置与优化

1. 索引管理

在System → Indices中配置索引策略，建议：

• 设置合理的保留时间（如30天）
• 配置分片数量（通常等于节点数）
• 设置索引轮换策略

2. 告警配置

通过Alerts功能可以设置基于条件的告警，如：

• 错误日志频率超过阈值
• 特定关键词出现
• 系统资源异常

3. 性能优化

• 调整JVM堆大小（-Xms4g -Xmx4g）
• 配置Elasticsearch内存限制
• 启用Graylog输出缓存