Streams¶

Graylog作為日誌管理系統，可能會同時處理非常多不同應用或來源的日誌訊息，而Stream是一種將訊息（messages）分類的機制，比如依照Syslog日誌等級從0~7共分七種，我們可以建立一個新的Stream，透過「Add stream rule」新增分類規則讓這個Stream專門收集存放或顯示Level4以上的messages、甚至是替elasticsearch建立新的索引（System>Indices），然後將這些分類好的messages以新的index名稱寫入elasticsearch中。

如果所有Stream都使用預設的default index set，不論有多少Stream，Graylog都只會在elasticsearch中寫入一則訊息，這避免了重複儲存的浪費。如果創建了新的Stream、使用了自訂的custom index set然後沒有勾選「Remove matches from ‘Default Stream’」，這意味著流入的日誌訊息會因為滿足兩種索引條件而讓elasticsearch被寫入兩份資料。

Reference¶

Graylog 系列 (1)：什麼是 Streams？
Graylog 系列 (2)：如何建立一個 Stream？
Graylog 系列 (3)：Stream 的 Index Sets
How can I find messages in Graylog based on level (syslog severity/priority)

檔案 (2)

回到頁首

graylog_create_stream.png	檢視 graylog_create_stream.png	119 KB		tomy shen, 2023-10-25 17:31
graylog_new_stream_rule.png	檢視 graylog_new_stream_rule.png	130 KB		tomy shen, 2023-10-25 17:31

專案

一般

配置概況

DevOps Study

Wiki

Streams¶

Reference¶