1.2 架构与组件
1.2 架构与组件
Graylog 架构总览
Graylog 典型架构包含三类核心组件:
-
Graylog Server:接收日志、执行解析与路由、提供 Web/API。
-
MongoDB:存储配置、用户、Stream/Index 模板等元数据。
-
Elasticsearch/OpenSearch:存储日志索引与执行检索/聚合。
数据流:Input → Stream → Pipeline/Extractor → Index → Search/Dashboards
Graylog Server 的职责
-
Inputs:监听 UDP/TCP/HTTP 等入口
-
Streams:按规则路由日志
-
Pipelines:字段解析、清洗与增强
-
Index 管理:索引滚动、生命周期、保留策略
-
Search & Views:提供检索与可视化能力
MongoDB 的职责
-
保存配置(Inputs/Streams/Pipelines/用户)
-
保存仪表盘、视图、告警规则等
-
元数据查询频繁,建议使用副本集以提升可用性
Elasticsearch/OpenSearch 的职责
-
提供日志索引与全文检索
-
支撑聚合、统计、时间范围查询
-
对存储容量与 IOPS 有要求
推荐部署拓扑
-
小规模:1×Graylog + 1×MongoDB + 1×ES/OS(单机)
-
中规模:2×Graylog(负载均衡)+ MongoDB 副本集 + ES/OS 集群
-
大规模:多 Graylog 节点 + ES/OS 多数据节点 + 专用协调节点
关键概念
-
Input:数据入口,决定数据如何进入系统
-
Stream:过滤器,将日志按规则分流
-
Pipeline:规则引擎,用于解析/丰富字段
-
Index Set:索引模板与生命周期管理
小结
本章介绍了 Graylog 的整体架构与组件分工。下一章将讲解规划与容量估算。
下一节:1.3 规划与容量估算