neatous/graylog Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

Graylog Docker镜像文档

概述

Graylog是一款功能强大的开源日志管理和分析平台，旨在帮助用户集中收集、存储、处理、搜索和可视化来自各种来源的日志数据。通过Docker镜像部署Graylog，可以快速搭建日志管理系统，简化配置流程，适用于企业IT环境、云基础设施、应用程序监控等场景。

核心功能和特性

• 多源日志收集：支持通过Beats、Logstash、Filebeat、Syslog等多种方式收集来自服务器、应用程序、网络设备的日志数据
• 实时日志处理：提供灵活的日志处理管道，支持数据解析、过滤、转换和enrichment，满足自定义日志处理需求
• 高效存储：基于Elasticsearch存储日志数据，支持水平扩展，确保高吞吐量和可靠性
• 强大搜索能力：提供全文搜索和复杂查询功能，支持按时间范围、关键词、字段等快速定位日志
• 可视化仪表盘：内置丰富的图表和仪表盘，支持自定义可视化组件，直观展示系统状态和关键指标
• 告警机制：支持基于日志内容、阈值、异常模式设置告警规则，通过邮件、Slack、PagerDuty等渠道推送通知
• 用户权限管理：提供细粒度的角色和权限控制，支持多租户管理，确保数据安全和合规性

使用场景和适用范围

• 企业IT基础设施监控：集中管理服务器、网络设备、数据库等基础设施的日志，实时监控系统健康状态
• 应用程序故障排查：聚合应用程序日志，快速定位错误信息，缩短问题解决时间
• 安全审计与合规：收集和存储安全相关日志（如登录记录、访问日志），满足PCI DSS、HIPAA等合规要求
• 云环境日志管理：适用于AWS、Azure、GCP等云平台，统一管理云服务和容器化应用的日志数据

使用方法和配置说明

前提条件

• Docker Engine 19.03+
• Docker Compose（推荐，用于管理Graylog、Elasticsearch和MongoDB依赖）
• 至少4GB内存（生产环境建议8GB+）

快速部署（docker run）

Graylog依赖MongoDB和Elasticsearch，以下为单节点快速启动流程：

1. 启动MongoDB：

bash
docker run -d --name mongo -p 27017:27017 mongo:5

2. 启动Elasticsearch（设置JVM堆大小）：

bash
docker run -d --name elasticsearch \
  -p 9200:9200 \
  -e "discovery.type=single-node" \
  -e "ES_JAVA_OPTS=-Xms512m -Xmx512m" \
  docker.elastic.co/elasticsearch/elasticsearch:7.17.0

3. 启动Graylog：

bash
docker run -d --name graylog \
  -p 9000:9000 \
  -p ***:***/udp \
  -p 514:514/udp \
  -e "GRAYLOG_ROOT_PASSWORD_SHA2=8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918" \
  -e "GRAYLOG_HTTP_EXTERNAL_URI=http://localhost:9000/" \
  --link mongo:mongo \
  --link elasticsearch:elasticsearch \
  graylog/graylog:5.1

说明：GRAYLOG_ROOT_PASSWORD_SHA2为默认密码"admin"的SHA256哈希值，生产环境需替换为自定义密码的哈希值（可通过echo -n "yourpassword" | sha256sum生成）

Docker Compose配置

推荐使用Docker Compose管理服务依赖，创建docker-compose.yml文件：

yaml
version: '3'

services:
  mongo:
    image: mongo:5
    volumes:
      - mongo_data:/data/db
    restart: always

  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:7.17.0
    volumes:
      - es_data:/usr/share/elasticsearch/data
    environment:
      - discovery.type=single-node
      - ES_JAVA_OPTS=-Xms512m -Xmx512m
    restart: always

  graylog:
    image: graylog/graylog:5.1
    volumes:
      - graylog_data:/usr/share/graylog/data
    environment:
      - GRAYLOG_ROOT_PASSWORD_SHA2=8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
      - GRAYLOG_HTTP_EXTERNAL_URI=http://localhost:9000/
      - GRAYLOG_MONGODB_URI=mongodb://mongo:27017/graylog
      - GRAYLOG_ELASTICSEARCH_HOSTS=[***]
    ports:
      - "9000:9000"   # Web界面
      - "***:***/udp"  # GELF UDP
      - "514:514/udp"      # Syslog UDP
    depends_on:
      - mongo
      - elasticsearch
    restart: always

volumes:
  mongo_data:
  es_data:
  graylog_data:

启动服务：

bash
docker-compose up -d

环境变量配置

常用环境变量说明：

访问Web界面

部署完成后，通过http://<服务器IP>:9000访问Web界面，使用管理员账号（默认用户名admin，密码对应GRAYLOG_ROOT_PASSWORD_SHA2的明文值）登录，配置日志输入源和监控规则。

注意事项

• 数据持久化：通过Docker volumes挂载数据目录，确保容器重启后数据不丢失
• 资源配置：根据日志量调整内存分配，生产环境建议Elasticsearch和Graylog各分配4GB以上内存
• 安全加固：生产环境需修改默认密码、配置HTTPS、限制网络访问，避免敏感信息泄露