Настройка логирования (Graylog) для веб-приложения
Graylog занимает нишу между ELK (мощно, сложно) и Loki (просто, ограниченно). Встроенный веб-интерфейс с search, alerting и dashboard — без Kibana как отдельного компонента. Хорошо подходит для команд, которым нужен централизованный лог-менеджмент без глубокой кастомизации.
Архитектура: Graylog ← MongoDB (конфигурация) + OpenSearch/Elasticsearch (данные)
Развёртывание
# docker-compose.yml
version: '3.8'
services:
mongodb:
image: mongo:6.0
volumes:
- mongo_data:/data/db
opensearch:
image: opensearchproject/opensearch:2.12.0
environment:
- cluster.name=graylog
- discovery.type=single-node
- plugins.security.disabled=true
- "OPENSEARCH_JAVA_OPTS=-Xms2g -Xmx2g"
- bootstrap.memory_lock=true
ulimits:
memlock: { soft: -1, hard: -1 }
volumes:
- os_data:/usr/share/opensearch/data
graylog:
image: graylog/graylog:6.0
environment:
- GRAYLOG_PASSWORD_SECRET=your_random_64_char_secret
# echo -n "admin_password" | sha256sum
- GRAYLOG_ROOT_PASSWORD_SHA2=your_sha256_password_hash
- GRAYLOG_HTTP_EXTERNAL_URI=http://graylog.example.com:9000/
- GRAYLOG_MONGODB_URI=mongodb://mongodb:27017/graylog
- GRAYLOG_ELASTICSEARCH_HOSTS=http://opensearch:9200
ports:
- "9000:9000" # Web UI
- "12201:12201" # GELF UDP
- "12201:12201/udp"
- "5044:5044" # Beats
- "514:514/udp" # Syslog UDP
depends_on:
- mongodb
- opensearch
volumes:
mongo_data:
os_data:
Сгенерировать GRAYLOG_PASSWORD_SECRET:
pwgen -N 1 -s 96
Хеш пароля:
echo -n "your_admin_password" | sha256sum | awk '{print $1}'
Входные источники (Inputs)
Graylog принимает логи через Inputs — настраиваются в System → Inputs:
GELF UDP (рекомендуется для приложений):
- Port: 12201
- Потери при высокой нагрузке возможны (UDP), но overhead минимален
GELF TCP (надёжнее):
- Port: 12201
- Используйте если критична гарантия доставки
Beats (для Filebeat):
- Port: 5044
Syslog UDP/TCP:
- Для системных логов и сетевого оборудования
Отправка логов из Laravel
Через GELF (нативный протокол Graylog):
composer require graylog2/gelf-php
// app/Logging/GraylogLogger.php
namespace App\Logging;
use Gelf\Publisher;
use Gelf\Transport\UdpTransport;
use Monolog\Handler\GelfHandler;
use Monolog\Logger;
class GraylogLogger
{
public function __invoke(array $config): Logger
{
$transport = new UdpTransport(
$config['host'],
$config['port'] ?? 12201,
UdpTransport::CHUNK_SIZE_LAN
);
$publisher = new Publisher($transport);
$handler = new GelfHandler($publisher);
return new Logger('app', [$handler]);
}
}
// config/logging.php
'graylog' => [
'driver' => 'custom',
'via' => App\Logging\GraylogLogger::class,
'host' => env('GRAYLOG_HOST', 'graylog'),
'port' => 12201,
],
'stack' => [
'driver' => 'stack',
'channels' => ['daily', 'graylog'],
],
Контекстные поля автоматически становятся полями в Graylog:
Log::error('Payment failed', [
'user_id' => $user->id,
'order_id' => $order->id,
'amount' => $order->amount,
'provider_error' => $response->error,
]);
Filebeat для Nginx логов
# /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
paths: [/var/log/nginx/access.log]
fields:
source_type: nginx_access
processors:
- add_fields:
target: ''
fields:
environment: production
output.logstash:
hosts: ["graylog-server:5044"]
Extractors и Pipelines
Graylog позволяет парсить поля из сообщений через Extractors (для отдельных полей) или Processing Pipelines (для сложной логики).
Pipeline для Nginx логов (System → Pipelines):
rule "parse nginx access log"
when
has_field("source_type") AND to_string($message.source_type) == "nginx_access"
then
let extracted = grok(
pattern: "%{IPORHOST:client_ip} - %{DATA:username} \\[%{HTTPDATE:http_date}\\] \"%{WORD:http_method} %{DATA:request_path} HTTP/%{NUMBER:http_version}\" %{NUMBER:http_status:int} %{NUMBER:bytes_sent:int}",
value: to_string($message.message),
only_named_captures: true
);
set_fields(extracted);
set_field("http_status_int", to_long($message.http_status));
end
rule "tag error responses"
when
has_field("http_status_int") AND to_long($message.http_status_int) >= 500
then
set_field("is_error", true);
add_tag("http_error");
end
Streams — маршрутизация логов
Streams позволяют разделить поток логов по категориям с разными retention-политиками:
- All Nginx Access — source_type = nginx_access → retention 30 дней
- Application Errors — level = ERROR или CRITICAL → retention 90 дней
- Security Events — теги содержат "security" → retention 180 дней
Каждый stream может иметь свой Index Set с независимыми настройками ротации.
Index Sets — управление хранением
System → Index Sets → Create index set:
Index prefix: app-errors
Max number of indices: 90
Index rotation: Time-based, Daily
Index retention: Delete, max 90 indices
Shards: 2
Replicas: 0 (для single-node)
Алерты
Graylog поддерживает Event Definitions — алерты по условиям:
Alerts → Event Definitions → Create:
Title: High 5xx error rate
Condition: Aggregation
- Stream: All Nginx Access
- Group by: (none)
- Count messages
- Filter: http_status >= 500
- Execute every: 5 minutes
- Condition: count > 50
Notification:
Type: HTTP Notification
URL: https://api.telegram.org/bot<TOKEN>/sendMessage
Body: {"chat_id": "<ID>", "text": "High error rate: ${event.message}"}
Dashboard
В Graylog дашборды строятся из виджетов поиска. Стандартный набор для веб-приложения:
- Message count (все логи, 24h) — цифра
- HTTP status codes (Pie chart, поле http_status)
- Error rate (Line chart, фильтр level:ERROR, группировка по времени)
- Top request paths (Table, Top values по request_path)
- Geographic distribution (Map, если включён GeoIP)
Сроки
Развёртывание Graylog + OpenSearch + MongoDB, настройка Inputs, Filebeat для Nginx, GELF-логирование из приложения, базовые Pipeline-правила, Index Sets с retention-политикой, начальные алерты: 1-2 рабочих дня.