Graylog集群环境搭建

最新推荐文章于 2025-06-20 11:08:18 发布
原创 最新推荐文章于 2025-06-20 11:08:18 发布 · 3.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#graylog集群

本文介绍如何在CentOS 7.2环境下部署Graylog集群,包括配置MongoDB副本集、Elasticsearch集群及Graylog多节点配置,并实现负载均衡。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本次多节点环境部署示例是基于centos7.2进行,由于资源有限,将ES与Graylog和MongoDB部署在同一台server上。以下内容仅供参考,正式生产环境根据需要进行调整。

前置条件

准备三个节点,系统版本为centos7.2。

IpHostname
192.168.2.121graylogNode1
192.168.2.122graylogNode2
192.168.2.123graylogNode3

可以直接使用vagrant创建三个节点,Vagrantfile如下:

# -*- mode: ruby -*-
# vi: set ft=ruby :

Vagrant.configure(2) do |config|

  (1..3).each do |i|
    config.vm.define "graylogNode#{i}" do |s|
      s.vm.box = "bento/centos-7.2"
      s.vm.hostname = "graylogNode#{i}"
      n = 120 + i
      s.vm.provision :shell, inline: "sed 's/127\.0\.0\.1.*node.*/192\.168\.2\.#{n} node#{i}/' -i /etc/hosts"
      s.vm.network "private_network", ip: "192.168.2.#{n}"
      s.vm.provider "virtualbox" do |v|
        v.cpus = 1
        v.memory = 2048
        v.name = "graylog-node#{i}"
      end
    end
  end

end

启动节点:

$ vagrant up

在每个节点上安装好MongoDB、Elasticsearch、Graylog,具体安装步骤参考上一篇 Graylog安装使用

集群配置

集群配置包括三个部分:配置MongoDB副本集、配置Elasticsearch集群、Graylog多节点配置。

配置MongoDB副本集

(1)指定副本集名称。
方法一:通过配置文件指定
更改每个节点上的MongoDB配置文件/etc/mongod.conf,将bindIp所在的行前加上#进行注释,replication部分添加replSetName: rs0,更改后的配置文件如下:

# for documentation of all options, see:
#   http://docs.mongodb.org/manual/reference/configuration-options/

# where to write logging data.
systemLog:
  destination: file
  logAppend: true
  path: /var/log/mongodb/mongod.log

# Where and how to store data.
storage:
  dbPath: /var/lib/mongo
  journal:
    enabled: true
#  engine:
#  mmapv1:
#  wiredTiger:

# how the process runs
processManagement:
  fork: true  # fork and run in background
  pidFilePath: /var/run/mongodb/mongod.pid  # location of pidfile

# network interfaces
net:
  port: 27017
#  bindIp: 127.0.0.1  # Listen to local interface only, comment to listen on all interfaces.


#security:

#operationProfiling:

#replication:
replication:
  replSetName: rs0

#sharding:

## Enterprise-Only Options

#auditLog:

#snmp:

重启服务:

$ sudo systemctl restart mongod.service

方法二:使用mongo --replSet命令行指定
在每个节点上执行命令:

$ mongod --replSet "rs0"

(2)在集群中的一个节点上执行mongo命令行:

$ mongo

初始化副本集
使用本机hostname或IP加端口,如下

$ rs.initiate( {
    _id : "rs0",
    members: [ { _id : 0, host : "192.168.2.121:27017" } ]
 })

查看配置

rs.conf()

配置如下:

{
        "_id" : "rs0",
        "version" : 1,
        "protocolVersion" : NumberLong(1),
        "members" : [
                {
                        "_id" : 0,
                        "host" : "192.168.2.121:27017",
                        "arbiterOnly" : false,
                        "buildIndexes" : true,
                        "hidden" : false,
                        "priority" : 1,
                        "tags" : {

                        },
                        "slaveDelay" : NumberLong(0),
                        "votes" : 1
                }
        ],
        "settings" : {
                "chainingAllowed" : true,
                "heartbeatIntervalMillis" : 2000,
                "heartbeatTimeoutSecs" : 10,
                "electionTimeoutMillis" : 10000,
                "getLastErrorModes" : {

                },
                "getLastErrorDefaults" : {
                        "w" : 1,
                        "wtimeout" : 0
                },
                "replicaSetId" : ObjectId("59ef0832a5da3378b1487f4e")
        }
}

向副本集中添加成员

rs0:PRIMARY> rs.add("192.168.2.122:27017")
{ "ok" : 1 }
rs0:PRIMARY> rs.add("192.168.2.123:27017")
{ "ok" : 1 }

添加完成之后的配置:

rs0:PRIMARY> rs.config()
{
        "_id" : "rs0",
        "version" : 4,
        "protocolVersion" : NumberLong(1),
        "members" : [
                {
                        "_id" : 0,
                        "host" : "192.168.2.121:27017",
                        "arbiterOnly" : false,
                        "buildIndexes" : true,
                        "hidden" : false,
                        "priority" : 1,
                        "tags" : {

                        },
                        "slaveDelay" : NumberLong(0),
                        "votes" : 1
                },
                {
                        "_id" : 1,
                        "host" : "192.168.2.122:27017",
                        "arbiterOnly" : false,
                        "buildIndexes" : true,
                        "hidden" : false,
                        "priority" : 1,
                        "tags" : {

                        },
                        "slaveDelay" : NumberLong(0),
                        "votes" : 1
                },
                {
                        "_id" : 2,
                        "host" : "192.168.2.123:27017",
                        "arbiterOnly" : false,
                        "buildIndexes" : true,
                        "hidden" : false,
                        "priority" : 1,
                        "tags" : {

                        },
                        "slaveDelay" : NumberLong(0),
                        "votes" : 1
                }
        ],
        "settings" : {
                "chainingAllowed" : true,
                "heartbeatIntervalMillis" : 2000,
                "heartbeatTimeoutSecs" : 10,
                "electionTimeoutMillis" : 10000,
                "getLastErrorModes" : {

                },
                "getLastErrorDefaults" : {
                        "w" : 1,
                        "wtimeout" : 0
                },
                "replicaSetId" : ObjectId("59ef0832a5da3378b1487f4e")
        }
}

查看状态

rs0:PRIMARY> rs.status()

创建graylog数据库,添加graylog用户

rs0:PRIMARY> use graylog
switched to db graylog
rs0:PRIMARY> db.createUser( {
... user: "graylog",
... pwd: "75PN76Db66En",
... roles: [ { role: "readWrite", db: "graylog" } ]
... });
rs0:PRIMARY> db.grantRolesToUser( "graylog" , [ { role: "dbAdmin", db: "graylog" } ])
rs0:PRIMARY> show users
rs0:PRIMARY> db.auth("graylog","75PN76Db66En")

配置Elasticsearch集群

(1)修改每个节点的配置文件

$ sudo vim /etc/elasticsearch/elasticsearch.yml

需要更改的部分如下:

#es集群名称,每个节点中cluster.name要保持一致(建议名称为graylog)
cluster.name: graylog  
#节点名称
node.name: es-node-01
#当前节点IP
network.host: 192.168.2.121
#端口
http.port: 9200
#集群中的主机
discovery.zen.ping.unicast.hosts: ["192.168.2.121", "192.168.2.122", "192.168.2.123"]
#可发现的主节点
discovery.zen.minimum_master_nodes: 2

(2)重启服务

$ sudo systemctl restart elasticsearch.service

(3)查看集群状态

$ curl 'http://192.168.2.121:9200/_cluster/health?pretty=true'
{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 3,
  "number_of_data_nodes" : 3,
  "active_primary_shards" : 80,
  "active_shards" : 80,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 0,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 100.0
}

(4)查看集群中的节点

$ curl 'http://192.168.2.121:9200/_cat/nodes?v'
ip            heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name
192.168.2.122            4          96   4    0.01    0.04     0.12 mdi       -      es-node-02
192.168.2.121            4          96   5    0.03    0.04     0.06 mdi       *      es-node-01
192.168.2.123            4          97   6    0.04    0.18     0.20 mdi       -      es-node-03

Graylog多节点配置

  1. 打开配置文件进行编辑:

    $ sudo vim /etc/graylog/server/server.conf

    (1)设置master节点
    本次环境是将192.168.2.121作为graylog主节点,因此在192.168.2.121上修改配置文件/etc/graylog/server/server.confis_master = true,其他两个节点的配置文件中设置为is_master = false
    (2)修改mongodb连接配置mongodb_uri

    mongodb_uri = mongodb://graylog:75PN76Db66En@192.168.2.121:27017,192.168.2.122:27017,192.168.2.123:27017/graylog?replicaSet=rs0

    (3)修改elasticsearch连接配置elasticsearch_hosts

    elasticsearch_hosts = http://192.168.2.121:9200,http://192.168.2.122:9200,http://192.168.2.123:9200

    (4)开启web界面web_enable

    web_enable = true

    (5)修改web_listen_uri

    
#不同的节点不同的IP

web_listen_uri = http://192.168.2.121:9000/

    (6)修改rest_listen_uri

    
#不同的节点不同的IP

rest_listen_uri = http://192.168.2.121:9000/api/

  2. 重启服务

    $ sudo systemctl restart graylog-server.service

  3. 创建负载均衡器,对graylog配置负载均衡
    本次使用nginx进行负载均衡,安装步骤如下:
    添加yum源:在/etc/yum.repos.d/目录下新建文件nginx.repo,添加如下内容:

    [nginx]
name=nginx repo
baseurl=http://nginx.org/packages/mainline/OS/OSRELEASE/$basearch/
gpgcheck=0
enabled=1

    补充OS换成你的系统,如:“centos”、“rhel”;OSRELEASE换成系统版本,本次的系统环境是centos7,所以写成如下的内容。

    [nginx]
name=nginx repo
baseurl=http://nginx.org/packages/mainline/centos/7/$basearch/
gpgcheck=0
enabled=1

    安装

    $ sudo yum -y install nginx

    启动服务$ sudo service nginx start
    配置Nginx
    更改Nginx的配置文件

       server {
   listen       80;
   listen [::]:80 default_server ipv6only=on;
   server_name graylog.example.org;

   location / {
       proxy_set_header Host $http_host;
       proxy_set_header X-Forwarded-Host $host;
       proxy_set_header X-Forwarded-Server $host;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Graylog-Server-URL http://$server_name/api;
       proxy_pass http://graylog-web-cluster;
   }
}
    upstream graylog-web-cluster {
        server 192.168.2.121:9000 max_fails=3 fail_timeout=30s;
        server 192.168.2.122:9000 max_fails=3 fail_timeout=30s;
        server 192.168.2.123:9000 max_fails=3 fail_timeout=30s;
    }

    重启服务:sudo nginx -s reload
    此时可以通过访问http://graylog.example.org/查看graylog,可看到已经搭建好的节点信息:

graylog nodes view

Q&A

  • 在初始化mongodb副本集的时候不要使用loaclahost,否则在添加其他成员的时候会出现以下错误:

    rs0:PRIMARY> rs.add("192.168.2.122")
{
    "ok" : 0,
    "errmsg" : "Either all host names in a replica set configuration must be localhost references, or none must be; found 1 out of 2",
    "code" : 103
}

    解决方法:

      rs0:PRIMARY> var config=rs.config()
  rs0:PRIMARY> config.members[0].host="192.168.2.121:27017"
  192.168.2.121:27017
  rs0:PRIMARY> rs.reconfig(config)
  { "ok" : 1 }
  rs0:PRIMARY> rs.config()
  {
        "_id" : "rs0",
        "version" : 2,
        "protocolVersion" : NumberLong(1),
        "members" : [
                {
                        "_id" : 0,
                        "host" : "192.168.2.121:27017",
                        "arbiterOnly" : false,
                        "buildIndexes" : true,
                        "hidden" : false,
                        "priority" : 1,
                        "tags" : {

                        },
                        "slaveDelay" : NumberLong(0),
                        "votes" : 1
                }
        ],
        "settings" : {
                "chainingAllowed" : true,
                "heartbeatIntervalMillis" : 2000,
                "heartbeatTimeoutSecs" : 10,
                "electionTimeoutMillis" : 10000,
                "getLastErrorModes" : {

                },
                "getLastErrorDefaults" : {
                        "w" : 1,
                        "wtimeout" : 0
                },
                "replicaSetId" : ObjectId("59ef0832a5da3378b1487f4e")
        }
  }
  rs0:PRIMARY> rs.add("192.168.2.122:27017")
  { "ok" : 1 }

参考文章

CentOS 下 Graylog 日志管理系统部署
操作系统内核探秘的博客
05-09 1311
随着分布式系统、微服务架构的普及,日志管理成为系统运维与监控的核心环节。Graylog 作为开源日志管理平台,支持多源日志收集、实时分析、可视化展示及警报触发,广泛应用于企业级日志处理场景。本文聚焦CentOS 7/8 系统,完整覆盖从环境准备到生产级部署的全流程,包含依赖组件安装、服务配置优化、日志接入测试及实战应用案例。核心组件原理:解析 Graylog 架构及依赖组件(Elasticsearch、MongoDB)环境准备:CentOS 系统配置与依赖服务安装Graylog 部署。
Graylog日志系统搭建-Multiple Server
xu6964347的专栏
04-20 1263
最小化安装Graylog,即将所有服务部署在同一台服务器,因为缺乏冗余及性能问题,该方式只适用于对Graylog的测试;为了能够支持较大的生产环境正式适用,可以将不同组件部署在不同服务器形成集群,提升高可用性及Graylog性能。 本次环境包含以下部分:Elasticsearch部署在三台服务器形成集群Graylog服务使用另外三台服务器形成集群,在部署有Graylog服务的服务器分别部署Mo...
使用docker 部署graylog集群
weixin_34393428的博客
06-18 1145
graylog 相比elk 有比较简单的方面,使用简单,配置简单,可视化工具是一体化的,比较方便 搭建使用docker,多主机部分,结合docker-compose 进行管理 具体docker 配置文件参考 http://docs.graylog.org/en/latest/pages/installation/docker.html 参考架构图 部署说明 ...
graylog集群(es+mongo+graylog-sidecar+nginx负载均衡) 全docker配置(3节点)
疯飙的蜗牛
08-12 5172
全 docker 部署 graylog 4.3 版本 集群 , 配置文件挂载方便修改 es + mongo + graylog (3台 做集群) nginx 负载均衡
0 到 1 构建企业日志系统:Graylog + Java 日志采集全流程实践
最新发布
weixin_44876263的博客
06-20 1010
在现代微服务架构中,日志是故障排查和系统监控的基础。Graylog 作为一款开源的日志管理平台,基于 Elasticsearch、MongoDB 和自身的 Graylog Server,为我们提供了强大的日志采集、查询、可视化能力。本文将从配置 Graylog 的 Index Set 和 Stream 开始,再介绍如何在 Java 应用中集成 Graylog 日志,实现日志的高效采集和管理。组件作用示例Input接收日志(UDP、TCP、Syslog、Beats 等)
graylog 集群搭建
Lovely_red_scarf的博客
06-11 985
es集群搭建 wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.4.3.tar.gz tar -zxvf elasticsearch-6.4.3.tar.gz 将安装包移动到/etc/目录下 mv elasticsearch-6.4.3 /etc/ 修改es的启动参数为本机内存的一半(根据你的实际需要来做) 将es安装目录的 config/jvm.options vim /etc/elastic
graylog4.0 集群搭建
Lovely_red_scarf的博客
06-16 1228
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、安装准备?二、部署步骤1.前置工作1:关闭服务器防火墙三.安装mongodb数据库1: MongoDB的用途是什么?四 Elasticsearch集群搭建1: es下载2:创建es数据目录3:修改es集群配置1:修改es安装目录下的config/jvm.options2:
Graylog单机升级集群
这有一片海的博客
03-24 718
graylog 单机迁移集群。 mongodb单机迁移集群。 Elasticsearch单机迁移集群
Graylog 部署文档_graylog部署
2401_87298624的博客
09-21 1222
添加 input 测试收集是否正常,system→inputs→select input→Raw/Plaintext TCP→Launch new input,选择 Node,添加 Title,点击 Save 即可。各组件版本选型分别是:elasticsearch-6.6.2、mongodb-4.0graylog-3.0.0、openjdk1.8.0_181 等。此次部署既要满足测试功能,又要能够对生产环境下的架构有清楚认识,决定先部署一台单节点的最小化 graylog,然后再扩展加入集群
在docker compose安装graylog单节点上扩展集群
weixin_39668593的博客
07-18 445
docker部署集群graylog
graylog-server-3.3.9-1.noarch.zip
01-04
Graylog还支持与其他工具集成,如通过GELF或 syslog 接收日志,使用插件扩展功能,以及搭建高可用集群等高级应用场景。 总之,Graylog 3.3.9提供了一个强大且灵活的日志管理解决方案,通过其丰富的功能和直观的界面...
graylog-server安装脚本
11-11
安装脚本是由ansible-playbook所编写的,将本地的rpm保存在file目录下,然后创建hosts文件,添加对应的graylog服务器组,执行ansible--playbook -i hosts graylog.yml即可完成部署。该部署脚本已上生产环境使用,且效率和复用率很高,你只需要将rpm包替换为你自己下载的graylog包,执行上述命令即可完成安装,单节点、集群都可以完成部署。记得创建hosts文件中的服务器组
CentOS7 安装Graylog 5.0+卸载GrayLog服务
QuJJan的博客
01-28 1248
Graylog 是一个开源的日志聚合、分析、审计、展现和预警工具。在功能上来说,和 ELK 类似,但又比 ELK 要简单很多。依靠着更加简洁,高效,部署使用简单的优势很快受到许多人的青睐。当然,在扩展性上面确实没有比 ELK 好,但是其有商业版本可以选择。
日志平台--graylog-web配置、接入微服务日志
菜鸟运维升级之路
11-11 9570
通过第三章内容,已成功搭建完成graylog,并且使用nginx实现了反向代理。因此在本章中,主要是针对graylog-web界面的熟悉、配置、微服务日志接入为目标,展开详细说明。以上就是今天要讲的内容,本文对graylog的界面操作做出了大量的讲解,并配合着graylog中的日志转换规则、清洗脚本等,对原本复杂的日志进行简单化处理,拿到自己想看到的日志字段。
graylog5_被动接受Nginx日志的单机部署流程
02eva的博客
12-21 745
Graylog被动Nginx日志信息
Centos7部署Graylog5.2日志系统
LoongKK的博客
12-07 2437
Graylog 5.2适配MongoDB 5.x~6.x,MongoDB5.0+要求。
Graylog单机版安装Graylog安装脚本一键实现在线离线安装
这有一片海的博客
11-26 5246
本文介绍了Graylog单机版安装过程,以及graylog一键安装脚本,并记录了遇到了相关问题的解决方案。同时提供了Dokcer-compose的安装方式。
Centos7 安装Graylog 5.0收集网络设备运行日志+卸载GrayLog服务
qixiaolinlin的博客
04-05 8659
对于日志监控业界常用的有ELK、Loki、Graylog等系统,最近在做技术选型时,对比了各个系统的情况,Graylog的一体化方案很符合现有需求。Graylog算是轻量级的ELK,也有很多企业在使用Graylog查看日志和监控业务日志。Graylog中文资料相对较少,在技术选型和开发过程中对资料进行整理。Graylog包含了告警、归档(商业版)、面板、日志查看、Rest API、组管理等功能。本文主要介绍Graylog的相关组件和基本流程。官方:https://docs.graylog.org/
Docker Springboot 集成 Graylog
seasonszx的博客
09-05 848
graylog
graylog搭建k8s
03-28
好的,我现在需要帮助用户在Kubernetes上搭建Graylog。首先,我要回想一下用户提供的引用内容,看看有没有相关的部署步骤或者配置信息。用户提到了使用juju和maas环境部署k8s,并且在引用中提到了Graylog的部署,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值