Các thành phần của Graylog

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu các kỹ thuật xử lý và phân tích log (Trang 45 - 47)

Graylog bao gồm bốn thành phần chính, đó là Graylog UI, Graylog Server, MongoDB và ElasticSearch.

GRAYLOG

GRAYLOG UI

- cung cấp giao diện web cho người dùng - cung cấp khả năng tìm kiếm và phân tích

- cung cấp giao diện cho môi trường cấu hình Graylog

GRAYLOG SERVER

- chứa công cụ xử lý log

- tích hợp tất cả các thành phần của Graylog

MongoDB

- được sử dụng để lưu trữ dữ liệu cấu hình

- chứa metadata, chẳng hạn như thông tin người dùng hoặc cấu hình luồng

ElasticSearch

- dùng để lưu trữ bản tin

- cung cấp công cụ tìm kiếm mạnh mẽ và nhanh chóng

Hình 3.3: Các thành phần và tính năng của Graylog

hoạt động như một công cụ phân tích gần như thời gian thực. Có nghĩa là có một độ trễ nhỏ giữa thời gian khi dữ liệu được lập chỉ mục và khi chúng có sẵn để tìm kiếm. Elasticsearch lưu trữ các chỉ mục theo định dạng tinh vi được tối ưu hóa cho tìm kiếm toàn văn bản. Chỉ mục là tập hợp dữ liệu, trong Elasticsearch được gọi là tài liệu, với các đặc điểm tương tự. Graylog sử dụng một cụm Elasticsearch chuyên dụng có thể bao gồm nhiều nút. Tất cả các nút Elasticsearch được định nghĩa trong file cấu hình chính của Graylog: /etc/graylog/server/server.conf. Graylog cũng hỗ trợ phát hiện nút tự động để có danh sách các nút Elasticsearch có sẵn. Cụm Elasticsearch được Graylog sử dụng có thể bao gồm nhiều nút trong đó một nút là một thể hiện của Elasticsearch. Một nút có thể lưu trữ dữ liệu hoặc bản sao dữ liệu. Mục đích của việc lưu trữ các bản sao dữ liệu trong chuyển đổi dự phòng là trong trường hợp nút chính bị hỏng, nút lưu trữ bản sao được đẩy lên vai trò của nút chính và không có dữ liệu nào bị mất. Các nút mới được thêm vào cụm Elasticsearch để tăng hiệu suất. Điều đó có nghĩa rằng hiệu suất của máy chủ Graylog là được đánh giá cao bởi hiệu quả của cụm Elasticsearch.

MongoDB là một cơ sở dữ liệu NoSQL lưu trữ dữ liệu trong theo cấu trúc có

định dạng JSON. Graylog sử dụng MongoDB để lưu trữ các thông tin cấu hình, metadata và web UI, chẳng hạn như người dùng, quyền, luồng, chỉ mục, thông tin cấu hình, v.v. MongoDB không lưu trữ dữ liệu log, cũng không phải chạy trên một máy chủ chuyên dụng bởi vậy nó không có tác động lớn đến máy chủ Graylog.

Graylog User Interface cho phép truy cập vào giao diện web trực quan, cung

cấp khả năng tìm kiếm, phân tích và làm việc với dữ liệu tổng hợp. Graylog UI tìm nạp tất cả dữ liệu thông qua HTTP từ Graylog REST API. API được sử dụng làm kênh giao tiếp chính giữa máy chủ UI và máy chủ Graylog. Ưu điểm là với dữ liệu từ REST API, có thể xây dựng lối vào riêng theo nhu cầu.

Graylog Server là một thành phần chịu trách nhiệm nhận dữ liệu từ máy khách

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu các kỹ thuật xử lý và phân tích log (Trang 45 - 47)

Tải bản đầy đủ (PDF)

(67 trang)