docs-graylog-org-en-4.0
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.62 MB, 608 trang )
Graylog Documentation
Release 4.0.0
Graylog, Inc.
Jul 07, 2021
GRAYLOG
1
Architectural considerations
1.1 Minimum setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Bigger production setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Graylog Architecture Deep Dive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Getting Started
2.1 Planning Your Log Collection . . . . . . . . .
2.1.1
Strategies . . . . . . . . . . . . . . .
2.1.2
Use Cases . . . . . . . . . . . . . . .
2.1.3
Event Log Sources . . . . . . . . . .
2.1.4
Collection method . . . . . . . . . .
2.1.5
Users . . . . . . . . . . . . . . . . .
2.1.6
Retention . . . . . . . . . . . . . . .
2.2 Download & Install Graylog . . . . . . . . . .
2.2.1
Operating System Packages . . . . .
2.2.2
Configuration Management . . . . . .
2.2.3
Containers . . . . . . . . . . . . . . .
2.2.4
Virtual Appliances . . . . . . . . . .
2.3 Initial Configuration . . . . . . . . . . . . . .
2.3.1
server.conf . . . . . . . . . . . . . .
2.3.2
elasticsearch.yml . . . . . . . . . . .
2.4 Connect to the Web Console . . . . . . . . . .
2.5 Explore Graylog . . . . . . . . . . . . . . . .
2.5.1
Streams . . . . . . . . . . . . . . . .
2.5.2
Searches . . . . . . . . . . . . . . . .
2.5.3
Dashboards . . . . . . . . . . . . . .
2.5.4
Alerts . . . . . . . . . . . . . . . . .
2.5.5
System . . . . . . . . . . . . . . . .
2.6 Collect Messages . . . . . . . . . . . . . . . .
2.6.1
Content packs . . . . . . . . . . . . .
2.6.2
Create an Input . . . . . . . . . . . .
2.6.3
Verify Messages Are Being Collected
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
7
7
7
8
8
9
10
11
11
11
12
12
12
13
13
15
16
18
18
19
19
19
19
21
22
22
22
Installing Graylog
3.1 Virtual Machine Appliances
3.1.1
Pre-Considerations
3.1.2
Download . . . . .
3.1.3
Run the image . . .
3.1.4
Logging in . . . .
3.1.5
Configuration . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
27
27
27
27
27
30
31
3
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3
3
4
5
i
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
31
31
31
31
32
32
32
33
35
45
46
46
46
46
53
55
56
57
58
58
58
58
58
59
59
59
59
59
59
59
64
Upgrading Graylog
4.1 Upgrading to Graylog 2.0.x . . . . . . . . . . . . . . .
4.1.1
Elasticsearch 2.x . . . . . . . . . . . . . . . .
4.1.2
MongoDB . . . . . . . . . . . . . . . . . . . .
4.1.3
Log4j 2 migration . . . . . . . . . . . . . . . .
4.1.4
Dead Letters feature removed . . . . . . . . . .
4.1.5
Removed configuration settings . . . . . . . .
4.1.6
Changed configuration defaults . . . . . . . . .
4.1.7
Changed prefixes for configuration override . .
4.1.8
REST API Changes . . . . . . . . . . . . . . .
4.1.9
Web Interface Config Changes . . . . . . . . .
4.2 Upgrading to Graylog 2.1.x . . . . . . . . . . . . . . .
4.2.1
HTTPS Setup . . . . . . . . . . . . . . . . . .
4.2.2
Web Interface Listener . . . . . . . . . . . . .
4.2.3
Internal Metrics to MongoDB . . . . . . . . .
4.2.4
Configuration file changes . . . . . . . . . . .
4.2.5
Graylog REST API . . . . . . . . . . . . . . .
4.2.6
For Plugin Authors . . . . . . . . . . . . . . .
4.2.7
Changed Elasticsearch Cluster Status Behavior
4.2.8
Changes in message field values trimming . . .
4.3 Upgrading to Graylog 2.2.x . . . . . . . . . . . . . . .
4.3.1
Email Alarm Callback . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
65
65
65
67
67
67
67
68
69
69
70
70
70
70
71
71
71
72
72
73
73
73
3.2
3.3
3.4
3.5
3.6
3.7
4
ii
3.1.6
VMWare ESXi . . . . . . . . . . . .
3.1.7
Update OVA to latest Version . . . . .
3.1.8
Production readiness . . . . . . . . .
Operating System Packages . . . . . . . . . .
3.2.1
Prerequisites . . . . . . . . . . . . .
3.2.2
Step by Step Guides . . . . . . . . . .
3.2.3
DEB / APT . . . . . . . . . . . . . .
3.2.4
RPM / YUM / DNF . . . . . . . . . .
3.2.5
Step-by-step guides . . . . . . . . . .
3.2.6
Feedback . . . . . . . . . . . . . . .
Chef, Puppet, Ansible . . . . . . . . . . . . .
Docker . . . . . . . . . . . . . . . . . . . . .
3.4.1
Requirements . . . . . . . . . . . . .
3.4.2
Quick start . . . . . . . . . . . . . .
3.4.3
Configuration . . . . . . . . . . . . .
3.4.4
Persisting data . . . . . . . . . . . . .
3.4.5
Plugins . . . . . . . . . . . . . . . .
3.4.6
Kubernetes automatic master selection
3.4.7
Nomad automatic master selection . .
3.4.8
Troubleshooting . . . . . . . . . . . .
3.4.9
Testing a beta version . . . . . . . . .
Amazon Web Services . . . . . . . . . . . . .
3.5.1
AMIs . . . . . . . . . . . . . . . . .
3.5.2
Usage . . . . . . . . . . . . . . . . .
3.5.3
Networking . . . . . . . . . . . . . .
3.5.4
HTTPS . . . . . . . . . . . . . . . .
3.5.5
Basic configuration . . . . . . . . . .
3.5.6
Production readiness . . . . . . . . .
Manual Setup . . . . . . . . . . . . . . . . . .
3.6.1
Graylog server on Linux . . . . . . .
System requirements . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4.4
4.5
4.6
4.7
4.8
4.9
4.10
4.11
4.12
4.13
4.14
4.3.2
Alert Notifications (previously known as Alarm Callbacks) . . . . . . . . . . . . . .
4.3.3
Default stream/Index Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3.4
RotationStrategy & RetentionStrategy Interfaces . . . . . . . . . . . . . . . . . . .
4.3.5
Changes in Exposed Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3.6
Changes in Split & Count Converter . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3.7
Graylog REST API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading to Graylog 2.3.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4.1
Graylog switches to Elasticsearch HTTP client . . . . . . . . . . . . . . . . . . . .
4.4.2
Graylog REST API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading to Graylog 2.4.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5.1
More plugins shipped by default . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading to Graylog 2.5.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.6.1
Protecting against CSRF, HTTP header required . . . . . . . . . . . . . . . . . . . .
4.6.2
Elasticsearch 6 changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading to Graylog 3.0.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.7.1
Elasticsearch Version Requirements . . . . . . . . . . . . . . . . . . . . . . . . . .
4.7.2
Simplified HTTP interface configuration . . . . . . . . . . . . . . . . . . . . . . . .
4.7.3
Plugins merged into the Graylog server . . . . . . . . . . . . . . . . . . . . . . . .
4.7.4
New “bin_dir” and “data_dir” configuration parameters . . . . . . . . . . . . . . . .
4.7.5
Removed support for Drools-based filters . . . . . . . . . . . . . . . . . . . . . . .
4.7.6
Changed metrics name for stream rules . . . . . . . . . . . . . . . . . . . . . . . .
4.7.7
Email alarm callback default settings . . . . . . . . . . . . . . . . . . . . . . . . . .
4.7.8
Collector Sidecar is deprecated . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.7.9
Legacy Content Packs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.7.10 Elasticsearch 6 changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading to Graylog 3.1.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8.1
Views & Extended Search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8.2
Alerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading to Graylog 3.2.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.9.1
Migrating Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.9.2
Changed Default TLS Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.9.3
Indexing Requests use HTTP Expect: 100-Continue Header . . . . . . . . . . . . .
4.9.4
Accounted Message Size Field . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.9.5
Known Bugs and Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading to Graylog 3.3.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.10.1 [BREAKING] Fixing certificate validation for LDAP servers used for authentication
4.10.2 Deprecating legacy Aggregation API endpoints . . . . . . . . . . . . . . . . . . . .
4.10.3 API Access Token Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.10.4 Dashboards API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.10.5 Saved Searches API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.10.6 CSV Export API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.10.7 Enterprise Audit Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.10.8 Notes for plugin authors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading to Graylog 4.0.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.11.1 Breaking Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.11.2 API Endpoint Deprecations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.11.3 API Endpoint Removals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrading Graylog Originally Installed from Image . . . . . . . . . . . . . . . . . . . . . .
Upgrading Graylog Originally Installed from Package . . . . . . . . . . . . . . . . . . . . .
Upgrading Elasticsearch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.14.1 Elasticsearch Reindexing Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.14.2 Elasticsearch 6 Upgrade Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.14.3 Elasticsearch 7 Upgrade Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.14.4 Elasticsearch Rolling Upgrade Notes . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 73
. 73
. 74
. 74
. 74
. 74
. 75
. 75
. 76
. 76
. 77
. 77
. 77
. 77
. 77
. 77
. 78
. 79
. 80
. 80
. 83
. 83
. 83
. 83
. 84
. 84
. 84
. 85
. 87
. 87
. 87
. 88
. 88
. 88
. 89
. 89
. 90
. 90
. 90
. 91
. 91
. 91
. 91
. 91
. 92
. 94
. 95
. 95
. 96
. 96
. 96
. 101
. 102
. 103
iii
5
6
iv
Configuring Graylog
5.1 server.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.1
Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Web interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.1
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.2
Configuration Options . . . . . . . . . . . . . . . . . . . . . . . .
5.2.3
How does the web interface connect to the Graylog server? . . . . .
5.2.4
Browser Compatibility . . . . . . . . . . . . . . . . . . . . . . . .
5.2.5
Making the web interface work with load balancers/proxies . . . . .
5.3 Load balancer integration . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3.1
Load balancer state . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3.2
Graceful shutdown . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3.3
Web Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4 Using HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.1
Things to consider . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.2
Certificate/Key file format . . . . . . . . . . . . . . . . . . . . . .
5.4.3
Creating a self-signed private key/certificate . . . . . . . . . . . . .
5.4.4
Converting a PKCS #12 (PFX) file to private key and certificate pair
5.4.5
Converting an existing Java Keystore to private key/certificate pair .
5.4.6
Sample files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.7
Adding a self-signed certificate to the JVM trust store . . . . . . . .
5.5 Multi-node Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.5.1
Prerequisites . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.5.2
MongoDB replica set . . . . . . . . . . . . . . . . . . . . . . . . .
5.5.3
Elasticsearch cluster . . . . . . . . . . . . . . . . . . . . . . . . .
5.5.4
Graylog Multi-node . . . . . . . . . . . . . . . . . . . . . . . . . .
5.5.5
Scaling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.5.6
Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.6 Elasticsearch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.6.1
Elasticsearch versions . . . . . . . . . . . . . . . . . . . . . . . . .
5.6.2
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.6.3
Avoiding split-brain and shard shuffling . . . . . . . . . . . . . . .
5.6.4
Custom index mappings . . . . . . . . . . . . . . . . . . . . . . .
5.6.5
Cluster Status explained . . . . . . . . . . . . . . . . . . . . . . .
5.7 Index model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.7.1
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.7.2
Index Set Configuration . . . . . . . . . . . . . . . . . . . . . . . .
5.7.3
Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.8 Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.8.1
Disaster recovery . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.9 Default file locations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.9.1
DEB package . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.9.2
RPM package . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.10 Graylog REST API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.10.1 Using the API browser . . . . . . . . . . . . . . . . . . . . . . . .
5.10.2 Interacting with the Graylog REST API . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
105
105
106
119
119
119
120
120
120
124
124
125
125
125
126
126
126
127
127
129
130
131
132
132
132
133
133
134
134
134
135
138
140
147
148
148
152
153
155
155
155
156
156
157
158
160
Securing Graylog
6.1 Default ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Configuring TLS ciphers . . . . . . . . . . . . . . . . . . . . . . . . . .
6.3 Security related topics . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.3.1
Generating Graylog certificates and keys with Microsoft AD CS
6.3.2
Secured Graylog and Beats input . . . . . . . . . . . . . . . . .
6.3.3
Logging user activity . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
165
165
165
166
166
171
173
.
.
.
.
.
.
.
.
.
.
.
.
6.3.4
6.3.5
7
8
Using ModSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
The URL Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Sending in log data
7.1 What are Graylog message inputs? . . . . . .
7.2 Log sources . . . . . . . . . . . . . . . . . . .
7.2.1
Ingest syslog . . . . . . . . . . . . .
7.2.2
Ingest journald . . . . . . . . . . . .
7.2.3
Ingest Windows eventlog . . . . . . .
7.2.4
Ingest CEF . . . . . . . . . . . . . .
7.2.5
Ingest Raw/Plaintext . . . . . . . . .
7.2.6
Ingest GELF . . . . . . . . . . . . .
7.2.7
Ingest from files . . . . . . . . . . . .
7.2.8
Ingest JSON path from HTTP API . .
7.2.9
Ingest Application Data . . . . . . . .
7.3 Individual Inputs . . . . . . . . . . . . . . . .
7.3.1
Beats . . . . . . . . . . . . . . . . .
7.3.2
AWS Kinesis/CloudWatch Input . . .
7.3.3
IPFIX Input . . . . . . . . . . . . . .
7.3.4
Okta Log Events Input . . . . . . . .
7.3.5
Palo Alto Networks Input . . . . . . .
7.4 Using Apache Kafka as transport queue . . . .
7.5 Using RabbitMQ (AMQP) as transport queue .
7.6 Input Throttling . . . . . . . . . . . . . . . .
7.6.1
Graylog Inputs that support throttling
7.6.2
Enabling throttling . . . . . . . . . .
7.6.3
Throttling criteria . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
179
179
179
180
182
184
186
186
186
187
188
189
190
190
190
196
199
201
205
205
205
205
206
206
Graylog Sidecar
8.1 Installation . . . . . . . . . . . . . . . . . . .
8.1.1
Install the Sidecar . . . . . . . . . . .
8.1.2
Install collectors . . . . . . . . . . . .
8.2 Sidecar Configuration . . . . . . . . . . . . .
8.2.1
sidecar.yml Reference . . . . . . . . .
8.2.2
First start . . . . . . . . . . . . . . .
8.2.3
Mode of Operation . . . . . . . . . .
8.2.4
Sidecar Status . . . . . . . . . . . . .
8.3 Step-by-step guide . . . . . . . . . . . . . . .
8.4 Creating a new Log Collector . . . . . . . . .
8.5 Using Configuration Variables . . . . . . . . .
8.5.1
Runtime Variables . . . . . . . . . .
8.6 Secure Sidecar Communication . . . . . . . .
8.6.1
Certificate based client authentication
8.7 Run Sidecar as non-root user . . . . . . . . . .
8.8 Upgrading from the Collector Sidecar . . . . .
8.8.1
1. Install New Sidecar . . . . . . . .
8.8.2
2. Migrate configuration . . . . . . .
8.8.3
3. Adopt configuration to Graylog 3.0
8.8.4
4. Switch over to the new Sidecar . .
8.8.5
Sidecar Configuration Migrator . . . .
8.9 Sidecar Glossary . . . . . . . . . . . . . . . .
8.9.1
Configuration . . . . . . . . . . . . .
8.9.2
Inputs . . . . . . . . . . . . . . . . .
8.10 Debug . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
207
208
208
209
210
211
211
212
212
212
216
218
220
220
221
221
222
222
222
222
223
223
225
225
225
225
v
8.11 Uninstall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
8.12 Known Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
9
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
227
228
228
230
230
231
231
231
232
233
234
236
238
241
241
244
246
246
246
247
247
248
250
250
252
253
253
253
253
254
254
255
256
10 Streams
10.1 What are streams? . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.1.1 What’s the difference to saved searches? . . . . . . . . . . . . .
10.2 How do I create a stream? . . . . . . . . . . . . . . . . . . . . . . . . .
10.3 Index Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.3.1 Storage requirements . . . . . . . . . . . . . . . . . . . . . . .
10.4 Outputs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.5 Use cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.6 How are streams processed internally? . . . . . . . . . . . . . . . . . .
10.7 Stream Processing Runtime Limits . . . . . . . . . . . . . . . . . . . .
10.7.1 How to configure the timeout values if the defaults do not match
10.7.2 What could cause it? . . . . . . . . . . . . . . . . . . . . . . .
10.7.3 Summary: How do I solve it? . . . . . . . . . . . . . . . . . . .
10.8 Programmatic access via the REST API . . . . . . . . . . . . . . . . . .
10.8.1 Checking for currently active alert/triggered conditions . . . . .
10.8.2 List of already triggered stream alerts . . . . . . . . . . . . . .
10.9 FAQs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
257
257
258
258
258
260
260
260
260
261
262
262
262
263
263
264
264
vi
Searching
9.1 Search query language . . . . . . . . . . . . . . . . .
9.1.1
Syntax . . . . . . . . . . . . . . . . . . . . .
9.1.2
Escaping . . . . . . . . . . . . . . . . . . .
9.2 Time frame selector . . . . . . . . . . . . . . . . . .
9.2.1
Relative time frame selector . . . . . . . . .
9.2.2
Absolute time frame selector . . . . . . . . .
9.2.3
Keyword time frame selector . . . . . . . . .
9.3 Saved Searches . . . . . . . . . . . . . . . . . . . . .
9.4 Widgets . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.1
Creating a widget . . . . . . . . . . . . . . .
9.4.2
Aggregation . . . . . . . . . . . . . . . . . .
9.4.3
Message Table . . . . . . . . . . . . . . . .
9.4.4
Repositioning and Resizing . . . . . . . . . .
9.5 Decorators . . . . . . . . . . . . . . . . . . . . . . .
9.5.1
List active decorators . . . . . . . . . . . . .
9.5.2
Syslog severity mapper . . . . . . . . . . . .
9.5.3
Format string . . . . . . . . . . . . . . . . .
9.5.4
Pipeline Decorator . . . . . . . . . . . . . .
9.5.5
Further functionality . . . . . . . . . . . . .
9.6 Parameters . . . . . . . . . . . . . . . . . . . . . . .
9.6.1
Declaring a parameter . . . . . . . . . . . . .
9.6.2
Default values . . . . . . . . . . . . . . . . .
9.7 Export results as CSV . . . . . . . . . . . . . . . . .
9.7.1
Exporting Message Tables on a Dashboard . .
9.7.2
Decorator Support . . . . . . . . . . . . . .
9.7.3
Exporting the full message . . . . . . . . . .
9.7.4
Troubleshooting . . . . . . . . . . . . . . . .
9.8 Search result highlighting . . . . . . . . . . . . . . .
9.8.1
Enabling/Disabling search result highlighting
9.9 Search configuration . . . . . . . . . . . . . . . . . .
9.9.1
Query time range limit . . . . . . . . . . . .
9.9.2
Relative time ranges . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
10.9.1
10.9.2
10.9.3
Using regular expressions for stream matching . . . . . . . . . . . . . . . . . . . . . . . . 264
Can I add messages to a stream after they were processed and stored? . . . . . . . . . . . . 265
Can I write own outputs, alert conditions or notifications? . . . . . . . . . . . . . . . . . . . 265
11 Alerts
11.1 Alerts & Events . . . . . . . . . . . . . . . . . . .
11.1.1 Alerting by Example . . . . . . . . . . . .
11.2 Defining an Event . . . . . . . . . . . . . . . . . .
11.2.1 Priority . . . . . . . . . . . . . . . . . . .
11.3 Filter . . . . . . . . . . . . . . . . . . . . . . . . .
11.3.1 Filter with dynamic lists (Enterprise feature)
11.4 Aggregation . . . . . . . . . . . . . . . . . . . . .
11.5 Fields . . . . . . . . . . . . . . . . . . . . . . . . .
11.6 Notifications . . . . . . . . . . . . . . . . . . . . .
11.6.1 Data available to notifications . . . . . . .
11.6.2 Email alert notification . . . . . . . . . . .
11.6.3 HTTP alert notification . . . . . . . . . . .
11.6.4 PagerDuty alert notification . . . . . . . . .
11.6.5 Slack alert notification . . . . . . . . . . .
11.6.6 Script alert notification [Enterprise] . . . .
11.6.7 Legacy Script alert callback . . . . . . . .
11.7 Event Summary . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
267
267
267
274
274
274
275
275
276
276
276
278
280
281
282
284
286
287
12 Dashboards
12.1 Why dashboards matter . . . . . . . . .
12.2 How to use dashboards . . . . . . . . . .
12.2.1 Creating an empty dashboard . .
12.2.2 Adding and configuring widgets
12.3 Widget specific search criteria . . . . . .
12.4 Examples . . . . . . . . . . . . . . . . .
12.5 Result . . . . . . . . . . . . . . . . . . .
12.6 Export a search as a dashboard . . . . . .
12.7 Widget cache times . . . . . . . . . . . .
12.8 Dashboard permissions . . . . . . . . . .
12.8.1 That’s it! . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
289
289
290
290
291
291
292
293
293
293
294
294
13 Extractors
13.1 The problem explained . . . . . . . . . .
13.2 Graylog extractors explained . . . . . . .
13.3 Import extractors . . . . . . . . . . . . .
13.4 Using regular expressions to extract data
13.5 Using Grok patterns to extract data . . .
13.6 Using the JSON extractor . . . . . . . .
13.7 Automatically extract all key=value pairs
13.8 Normalization . . . . . . . . . . . . . .
13.8.1 The standard date converter . . .
13.8.2 The flexible date converter . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
295
295
295
297
299
299
301
301
303
303
306
14 Processing Pipelines
14.1 Pipelines . . . . . . . . .
14.1.1 Overview . . . .
14.1.2 Pipeline structure
14.2 Rules . . . . . . . . . . .
14.2.1 Overview . . . .
14.2.2 Rule Structure . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
307
307
307
307
308
308
309
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
vii
14.2.3 Data Types . . . . . . . . . . . . . . . . . . .
14.2.4 Conditions . . . . . . . . . . . . . . . . . . . .
14.2.5 Actions . . . . . . . . . . . . . . . . . . . . .
14.3 Stream connections . . . . . . . . . . . . . . . . . . . .
14.3.1 Overview . . . . . . . . . . . . . . . . . . . .
14.3.2 The All messages stream . . . . . . . . . . . .
14.3.3 The importance of message processor ordering
14.4 Functions . . . . . . . . . . . . . . . . . . . . . . . . .
14.4.1 Overview . . . . . . . . . . . . . . . . . . . .
14.4.2 Function Index . . . . . . . . . . . . . . . . .
14.5 Usage . . . . . . . . . . . . . . . . . . . . . . . . . . .
14.5.1 Overview . . . . . . . . . . . . . . . . . . . .
14.5.2 Configuration . . . . . . . . . . . . . . . . . .
14.5.3 Manage rules . . . . . . . . . . . . . . . . . .
14.5.4 Managing pipelines . . . . . . . . . . . . . . .
14.5.5 Connect pipelines to streams . . . . . . . . . .
14.5.6 Simulate your changes . . . . . . . . . . . . .
15 Lookup Tables
15.1 Components . . . . . . . . . . . . . .
15.1.1 Data Adapters . . . . . . . . .
15.1.2 Caches . . . . . . . . . . . . .
15.1.3 Lookup Tables . . . . . . . .
15.1.4 Lookup Results . . . . . . . .
15.2 Setup . . . . . . . . . . . . . . . . . .
15.2.1 Create Data Adapter . . . . .
15.2.2 Create Cache . . . . . . . . .
15.2.3 Create Lookup Table . . . . .
15.3 Usage . . . . . . . . . . . . . . . . . .
15.3.1 Extractors . . . . . . . . . . .
15.3.2 Converters . . . . . . . . . . .
15.3.3 Decorators . . . . . . . . . . .
15.3.4 Pipeline Rules . . . . . . . . .
15.4 Built-in Data Adapters . . . . . . . . .
15.4.1 CSV File Adapter . . . . . . .
15.4.2 DNS Lookup Adapter . . . . .
15.4.3 DSV File from HTTP Adapter
15.4.4 HTTP JSONPath Adapter . . .
15.4.5 Geo IP - MaxMind Databases
15.5 Enterprise Data Adapters . . . . . . . .
15.6 MongoDB . . . . . . . . . . . . . . .
15.6.1 Alter from HTTP Rest API . .
15.6.2 Alter from Pipeline Function .
15.6.3 Alter from GUI . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
310
310
310
311
311
311
311
312
312
313
335
335
335
336
337
338
339
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
341
341
341
341
342
342
343
343
344
345
346
346
346
347
348
348
348
348
349
349
349
349
349
349
350
350
16 Geolocation
16.1 Setup . . . . . . . . . . . . . . . . . . . . . . .
16.1.1 Download the database . . . . . . . . .
16.1.2 Configure Lookup Table . . . . . . . .
16.1.3 Use the Lookup Table . . . . . . . . . .
16.2 Visualize geolocations in a map . . . . . . . . .
16.2.1 Display a map in the search results page
16.2.2 Add map to a dashboard . . . . . . . .
16.3 FAQs . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
351
351
351
352
352
352
352
353
355
viii
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
16.3.1
16.3.2
16.3.3
16.3.4
16.3.5
16.3.6
Will Graylog extract IPs from all fields? . . . . . . . . . . . . . . . . . . . . . . . . . . .
What geo-information is extracted from IPs? . . . . . . . . . . . . . . . . . . . . . . . . .
Where is the extracted geo-information stored? . . . . . . . . . . . . . . . . . . . . . . .
Which geo-points format does Graylog use to store coordinates? . . . . . . . . . . . . . .
I have a field in my messages with coordinates information already, can I use it in Graylog?
Not all fields containing IP addresses are resolved. Why does this happen? . . . . . . . . .
.
.
.
.
.
.
355
356
356
356
356
356
17 Indexer failures
357
17.1 Common indexer failure reasons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
17.1.1 MapperParsingException . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
18 Permission Management
18.1 Authentication . . . . . . . . . . . . . . . . . . . . .
18.2 Users . . . . . . . . . . . . . . . . . . . . . . . . . .
18.3 Roles . . . . . . . . . . . . . . . . . . . . . . . . . .
18.3.1 Providing Dashboard Creation Access . . . .
18.4 Teams . . . . . . . . . . . . . . . . . . . . . . . . . .
18.4.1 AD/LDAP Synchronization with Teams . . .
18.5 Sharing . . . . . . . . . . . . . . . . . . . . . . . . .
18.5.1 Sharing Streams and Dashboards with Teams
18.5.2 Sharing within Teams . . . . . . . . . . . . .
18.5.3 Sharing Dashboards within Teams . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
359
360
361
362
364
366
367
367
368
368
371
19 Plugins
19.1 About Plugins . . . . . . . . . . . . . . . . . . .
19.2 Plugin Types . . . . . . . . . . . . . . . . . . . .
19.2.1 API concepts . . . . . . . . . . . . . . .
19.2.2 Event Notifications . . . . . . . . . . . .
19.2.3 Decorators . . . . . . . . . . . . . . . . .
19.3 Writing Plugins . . . . . . . . . . . . . . . . . . .
19.3.1 Sample Plugin . . . . . . . . . . . . . . .
19.3.2 Creating a plugin skeleton . . . . . . . .
19.3.3 The anatomy of a plugin . . . . . . . . .
19.3.4 Required conventions for web plugins . .
19.3.5 Best practices for web plugin development
19.3.6 Building plugins . . . . . . . . . . . . .
19.4 Installing and loading plugins . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
375
375
375
375
377
380
381
382
382
383
385
385
386
386
20 Content Packs
20.1 What are content packs? . . . . .
20.1.1 Parameter . . . . . . . .
20.2 How do I create a Content Pack? .
20.3 Upload a content pack . . . . . .
20.4 Installing a content pack . . . . .
20.5 Uninstalling a content pack . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
387
387
387
387
389
389
389
21 Graylog Marketplace
21.1 GitHub integration . . . . .
21.2 General best practices . . .
21.2.1 README content
21.2.2 License . . . . . .
21.3 4 Types of Add-Ons . . . .
21.4 Contributing plug-ins . . . .
21.5 Contributing content packs .
21.6 Contributing GELF libraries
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
391
391
392
392
392
392
392
393
393
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
ix
21.7 Contributing other content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
22 Frequently asked questions
395
22.1 General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
22.1.1 Do I need to buy a license to use Graylog? . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
22.1.2 How long do you support older versions of the Graylog product? . . . . . . . . . . . . . . . 395
22.2 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
22.2.1 What is MongoDB used for? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
22.2.2 Can you guide me on how to replicate MongoDB for High Availability? . . . . . . . . . . . 395
22.2.3 I have datacenters across the world and do not want logs forwarding from everywhere to a
central location due to bandwidth, etc. How do I handle this? . . . . . . . . . . . . . . . . . 396
22.2.4 Which load balancers do you recommend we use with Graylog? . . . . . . . . . . . . . . . 396
22.2.5 Isn’t Java slow? Does it need a lot of memory? . . . . . . . . . . . . . . . . . . . . . . . . 396
22.2.6 Does Graylog encrypt log data? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
22.2.7 Where are the log files Graylog produces? . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
22.3 Installation / Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
22.3.1 Should I download the OVA appliances or the separate packages? . . . . . . . . . . . . . . 396
22.3.2 How do I find out if a specific log source is supported? . . . . . . . . . . . . . . . . . . . . 397
22.3.3 Can I install the Graylog Server on Windows? . . . . . . . . . . . . . . . . . . . . . . . . . 397
22.3.4 Can I run Graylog on Azure? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
22.4 Functionality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
22.4.1 Can Graylog automatically clean old data? . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
22.4.2 Does Graylog support LDAP / Active Directory and its groups? . . . . . . . . . . . . . . . 397
22.4.3 Do we have a user audit log for compliance? . . . . . . . . . . . . . . . . . . . . . . . . . . 397
22.4.4 Does Graylog have reporting functionality? . . . . . . . . . . . . . . . . . . . . . . . . . . 398
22.4.5 Can I filter inbound messages before they are processed by the Graylog server? . . . . . . . 398
22.4.6 Dedicated Partition for the Journal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
22.4.7 Raise the Java Heap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
22.4.8 How can I start an input on a port below 1024? . . . . . . . . . . . . . . . . . . . . . . . . 398
22.5 Graylog & Integrations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
22.5.1 What is the best way to integrate my applications to Graylog? . . . . . . . . . . . . . . . . 398
22.5.2 I have a log source that creates dynamic syslog messages based on events and subtypes and
grok patterns are difficult to use - what is the best way to handle this? . . . . . . . . . . . . 399
22.5.3 I want to archive my log data. Can I write to another database, for example HDFS / Hadoop,
from Graylog? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
22.5.4 I don’t want to use Elasticsearch as my backend storage system – can I use another database,
like MySQL, Oracle, etc? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
22.5.5 How can I create a restricted user to check internal Graylog metrics in my monitoring system? 399
22.6 Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
22.6.1 I’m sending in messages, and I can see they are being accepted by Graylog, but I can’t see
them in the search. What is going wrong? . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
22.6.2 I have configured an SMTP server or an output with TLS connection and receive handshake
errors. What should I do? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
22.6.3 Suddenly parts of Graylog did not work as expected . . . . . . . . . . . . . . . . . . . . . . 400
22.6.4 I cannot go past page 66 in search results . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
22.6.5 My field names contain dots and stream alerts do not match anymore . . . . . . . . . . . . . 401
22.6.6 What does “Uncommited messages deleted from journal” mean? . . . . . . . . . . . . . . . 401
22.6.7 What does “Journal utilization is too high” mean? . . . . . . . . . . . . . . . . . . . . . . . 401
22.6.8 How do I fix the “Deflector exists as an index and is not an alias” error message? . . . . . . 401
22.6.9 How do I enable debug logging for a specific plugin or area of Graylog? . . . . . . . . . . . 402
22.6.10 Have another troubleshooting question? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
22.7 Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
22.7.1 I think I’ve found a bug, how do I report it? . . . . . . . . . . . . . . . . . . . . . . . . . . 403
22.7.2 I’m having issues installing or configuring Graylog, where can I go for support? . . . . . . . 403
x
23 The thinking behind the Graylog architecture and why it matters to you
23.1 A short history of Graylog . . . . . . . . . . . . . . . . . . . . . . .
23.2 The log management market today . . . . . . . . . . . . . . . . . .
23.2.1 Architectural considerations . . . . . . . . . . . . . . . . .
23.2.2 Blackboxes . . . . . . . . . . . . . . . . . . . . . . . . . .
23.3 The future . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
405
405
405
405
407
407
24 Changelog
24.1 Graylog 4.0.9 . . . . . . . . . . .
24.1.1 Core . . . . . . . . . . .
24.2 Graylog 4.0.8 . . . . . . . . . . .
24.2.1 Core . . . . . . . . . . .
24.2.2 Integrations Plugin . . .
24.3 Graylog 4.0.7 . . . . . . . . . . .
24.3.1 Core . . . . . . . . . . .
24.4 Graylog 4.0.6 . . . . . . . . . . .
24.4.1 Core . . . . . . . . . . .
24.5 Graylog 4.0.5 . . . . . . . . . . .
24.5.1 Core . . . . . . . . . . .
24.6 Graylog 4.0.4 . . . . . . . . . . .
24.6.1 Core . . . . . . . . . . .
24.6.2 Integrations Plugin . . .
24.7 Graylog 4.0.3 . . . . . . . . . . .
24.7.1 Core . . . . . . . . . . .
24.7.2 Integrations Plugin . . .
24.8 Graylog 4.0.2 . . . . . . . . . . .
24.8.1 Core . . . . . . . . . . .
24.8.2 Legacy Collector Plugin
24.8.3 Threatintel Plugin . . . .
24.9 Graylog 4.0.1 . . . . . . . . . . .
24.9.1 Core . . . . . . . . . . .
24.9.2 Integrations Plugin . . .
24.9.3 Threatintel Plugin . . . .
24.10 Graylog 4.0.0 . . . . . . . . . . .
24.10.1 Core . . . . . . . . . . .
24.10.2 Integrations Plugin . . .
24.11 Graylog 3.3.13 . . . . . . . . . .
24.12 Graylog 3.3.12 . . . . . . . . . .
24.12.1 Core . . . . . . . . . . .
24.13 Graylog 3.3.11 . . . . . . . . . .
24.13.1 Core . . . . . . . . . . .
24.14 Graylog 3.3.10 . . . . . . . . . .
24.14.1 Core . . . . . . . . . . .
24.15 Graylog 3.3.9 . . . . . . . . . . .
24.15.1 Core . . . . . . . . . . .
24.16 Graylog 3.3.8 . . . . . . . . . . .
24.17 Graylog 3.3.7 . . . . . . . . . . .
24.17.1 Core . . . . . . . . . . .
24.18 Graylog 3.3.6 . . . . . . . . . . .
24.18.1 Core . . . . . . . . . . .
24.18.2 Legacy AWS Plugin . .
24.18.3 Integrations Plugin . . .
24.19 Graylog 3.3.5 . . . . . . . . . . .
24.20 Graylog 3.3.4 . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
409
409
409
409
409
409
410
410
410
410
410
411
411
411
411
411
411
412
412
412
413
413
413
413
413
414
414
414
416
416
416
417
417
417
417
417
418
418
418
418
418
418
419
419
419
420
420
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
xi
24.21 Graylog 3.3.3 . . . . . . . . . . . .
24.21.1 Core . . . . . . . . . . . .
24.22 Graylog 3.3.2 . . . . . . . . . . . .
24.22.1 Core . . . . . . . . . . . .
24.22.2 Integrations Plugin . . . .
24.23 Graylog 3.3.1 . . . . . . . . . . . .
24.23.1 Core . . . . . . . . . . . .
24.24 Graylog 3.3.0 . . . . . . . . . . . .
24.24.1 Core . . . . . . . . . . . .
24.25 Graylog 3.2.6 . . . . . . . . . . . .
24.25.1 Core . . . . . . . . . . . .
24.26 Graylog 3.2.5 . . . . . . . . . . . .
24.26.1 Core . . . . . . . . . . . .
24.26.2 AWS Plugin (legacy) . . .
24.27 Graylog 3.2.4 . . . . . . . . . . . .
24.27.1 Core . . . . . . . . . . . .
24.28 Graylog 3.2.3 . . . . . . . . . . . .
24.28.1 Core . . . . . . . . . . . .
24.29 Graylog 3.2.2 . . . . . . . . . . . .
24.29.1 Core . . . . . . . . . . . .
24.29.2 Integrations Plugin . . . .
24.30 Graylog 3.2.1 . . . . . . . . . . . .
24.30.1 Core . . . . . . . . . . . .
24.31 Graylog 3.2.0 . . . . . . . . . . . .
24.31.1 Core . . . . . . . . . . . .
24.31.2 Integrations Plugin . . . .
24.32 Graylog 3.1.4 . . . . . . . . . . . .
24.32.1 Core . . . . . . . . . . . .
24.32.2 Integrations Plugin . . . .
24.33 Graylog 3.1.3 . . . . . . . . . . . .
24.33.1 Core . . . . . . . . . . . .
24.33.2 Integrations Plugin . . . .
24.34 Graylog 3.1.2 . . . . . . . . . . . .
24.34.1 Core . . . . . . . . . . . .
24.35 Graylog 3.1.1 . . . . . . . . . . . .
24.35.1 Core . . . . . . . . . . . .
24.35.2 Integrations Plugin . . . .
24.36 Graylog 3.1.0 . . . . . . . . . . . .
24.36.1 Views & Extended Search
24.36.2 Core . . . . . . . . . . . .
24.37 Graylog 3.0.2 . . . . . . . . . . . .
24.38 Graylog 3.0.1 . . . . . . . . . . . .
24.39 Graylog 3.0.0 . . . . . . . . . . . .
24.40 Graylog 2.5.2 . . . . . . . . . . . .
24.41 Graylog 2.5.1 . . . . . . . . . . . .
24.42 Graylog 2.5.0 . . . . . . . . . . . .
24.43 Graylog 2.4.7 . . . . . . . . . . . .
24.44 Graylog 2.4.6 . . . . . . . . . . . .
24.45 Graylog 2.4.5 . . . . . . . . . . . .
24.46 Graylog 2.4.4 . . . . . . . . . . . .
24.47 Graylog 2.4.3 . . . . . . . . . . . .
24.48 Graylog 2.4.2 . . . . . . . . . . . .
24.49 Graylog 2.4.1 . . . . . . . . . . . .
24.50 Graylog 2.4.0 . . . . . . . . . . . .
xii
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
420
420
421
421
421
421
421
422
422
424
424
424
424
425
425
425
425
425
426
426
427
427
427
427
428
430
430
430
431
431
431
432
432
432
432
433
433
433
433
433
436
436
436
437
437
437
438
438
439
439
440
440
440
441
24.51 Graylog 2.4.0-rc.2 .
24.52 Graylog 2.4.0-rc.1 .
24.53 Graylog 2.4.0-beta.4
24.54 Graylog 2.4.0-beta.3
24.55 Graylog 2.4.0-beta.2
24.56 Graylog 2.4.0-beta.1
24.57 Graylog 2.3.2 . . . .
24.58 Graylog 2.3.1 . . . .
24.59 Graylog 2.3.0 . . . .
24.60 Graylog 2.2.3 . . . .
24.61 Graylog 2.2.2 . . . .
24.62 Graylog 2.2.1 . . . .
24.63 Graylog 2.2.0 . . . .
24.64 Graylog 2.1.3 . . . .
24.65 Graylog 2.1.2 . . . .
24.66 Graylog 2.1.1 . . . .
24.67 Graylog 2.1.0 . . . .
24.68 Graylog 2.0.3 . . . .
24.69 Graylog 2.0.2 . . . .
24.70 Graylog 2.0.1 . . . .
24.71 Graylog 2.0.0 . . . .
24.72 Graylog 1.3.4 . . . .
24.73 Graylog 1.3.3 . . . .
24.74 Graylog 1.3.2 . . . .
24.75 Graylog 1.3.1 . . . .
24.76 Graylog 1.3.0 . . . .
24.77 Graylog 1.2.2 . . . .
24.78 Graylog 1.2.1 . . . .
24.79 Graylog 1.2.0 . . . .
24.80 Graylog 1.2.0-rc.4 .
24.81 Graylog 1.2.0-rc.2 .
24.82 Graylog 1.1.6 . . . .
24.83 Graylog 1.1.5 . . . .
24.84 Graylog 1.1.4 . . . .
24.85 Graylog 1.1.3 . . . .
24.86 Graylog 1.1.2 . . . .
24.87 Graylog 1.1.1 . . . .
24.88 Graylog 1.1.0 . . . .
24.89 Graylog 1.1.0-rc.3 .
24.90 Graylog 1.1.0-rc.1 .
24.91 Graylog 1.1.0-beta.3
24.92 Graylog 1.1.0-beta.2
24.93 Graylog 1.0.2 . . . .
24.94 Graylog 1.0.1 . . . .
24.95 Graylog 1.0.0 . . . .
24.96 Graylog 1.0.0-rc.4 .
24.97 Graylog 1.0.0-rc.3 .
24.98 Graylog 1.0.0-rc.2 .
24.99 Graylog 1.0.0-rc.1 .
24.100Graylog 1.0.0-beta.2
24.101Graylog 1.0.0-beta.2
24.102Graylog2 0.92.4 . .
24.103Graylog 1.0.0-beta.1
24.104Graylog2 0.92.3 . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
441
441
442
442
443
443
446
446
447
451
452
452
453
456
457
458
459
466
466
467
468
472
472
473
473
473
474
475
475
475
476
477
477
478
478
478
479
480
480
481
481
482
483
483
484
485
485
485
486
487
488
489
489
489
xiii
24.105Graylog2 0.92.1 . . .
24.106Graylog2 0.92.0 . . .
24.107Graylog2 0.92.0-rc.1 .
24.108Graylog2 0.91.3 . . .
24.109Graylog2 0.91.3 . . .
24.110Graylog2 0.92.0-beta.1
24.111Graylog2 0.91.1 . . .
24.112Graylog2 0.90.1 . . .
24.113Graylog2 0.91.0-rc.1 .
24.114Graylog2 0.90.0 . . .
24.115Graylog2 0.20.3 . . .
24.116Graylog2 0.20.2 . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
25 Introduction
490
490
491
491
491
492
492
493
493
493
494
494
497
26 Setup
26.1 Requirements . . . . . . . . . . . . . . . . .
26.2 Installation . . . . . . . . . . . . . . . . . .
26.2.1 DEB / APT . . . . . . . . . . . . .
26.2.2 RPM / YUM / DNF . . . . . . . . .
26.2.3 Edit the Configuration File . . . . .
26.2.4 Starting Graylog . . . . . . . . . .
26.3 Cluster Setup . . . . . . . . . . . . . . . . .
26.4 Update Graylog Enterprise . . . . . . . . . .
26.4.1 Update Enterprise . . . . . . . . . .
26.4.2 Graylog OSS to Graylog Enterprise
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
499
499
499
499
500
500
500
501
501
501
501
27 Cloud Forwarder
27.1 Introduction . . . . . . . . . . . . . . . .
27.2 Security . . . . . . . . . . . . . . . . . . .
27.3 Input Profile . . . . . . . . . . . . . . . .
27.4 Configuration . . . . . . . . . . . . . . . .
27.4.1 File . . . . . . . . . . . . . . . .
27.4.2 Wizard . . . . . . . . . . . . . .
27.5 Operating System Package Configuration .
27.5.1 Install via DEB . . . . . . . . . .
27.5.2 RPM Install Instructions . . . . .
27.5.3 Docker Installation . . . . . . . .
27.6 Monitoring Forwarder Activity and Health
27.6.1 Forwarder Overview . . . . . . .
27.6.2 REST API . . . . . . . . . . . . .
27.7 Resiliency Models . . . . . . . . . . . . .
27.7.1 Message Recovery . . . . . . . .
27.7.2 Load Balancing Options . . . . .
27.8 Distinguishing Forwarders . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
505
505
505
506
506
506
506
510
510
510
511
511
512
512
514
514
514
514
28 Archiving
28.1 Setup . . . . . . . . . . . . . . . . . .
28.1.1 Installation . . . . . . . . . .
28.1.2 Configuration . . . . . . . . .
28.2 Usage . . . . . . . . . . . . . . . . . .
28.2.1 Creating Archives . . . . . . .
28.2.2 Restoring Archives . . . . . .
28.2.3 Searching in Restored Indices
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
515
515
515
515
521
521
523
526
xiv
.
.
.
.
.
.
.
.
.
.
.
.
.
.
29 Audit Log
29.1 Setup . . . . . . . . . . . . . . .
29.1.1 Installation . . . . . . .
29.1.2 Configuration . . . . . .
29.2 Usage . . . . . . . . . . . . . . .
29.2.1 View Audit Log Entries .
29.2.2 Expand Event Details . .
29.2.3 Search & Filter . . . . .
29.2.4 Export Entries . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
527
527
527
527
531
532
532
533
534
30 Reporting
30.1 Setup . . . . . . . . . . . . . . . . . .
30.1.1 Installation . . . . . . . . . .
30.1.2 Configuration . . . . . . . . .
30.2 Usage . . . . . . . . . . . . . . . . . .
30.2.1 Creating Reports . . . . . . .
30.2.2 Configure Reports . . . . . . .
30.2.3 History . . . . . . . . . . . .
30.2.4 Generating Report On Demand
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
537
537
537
538
539
539
541
543
543
31 License
31.1 License Installation . . . . . . . . . . .
31.2 License Verification . . . . . . . . . .
31.2.1 Details on License Verification
31.2.2 Details on licensed traffic . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
545
545
546
546
547
32 Changelog
32.1 Graylog Enterprise 4.0.9 . . . . . . . .
32.2 Graylog Enterprise 4.0.8 . . . . . . . .
32.2.1 Enterprise . . . . . . . . . . .
32.3 Graylog Enterprise 4.0.7 . . . . . . . .
32.3.1 Enterprise . . . . . . . . . . .
32.4 Graylog Enterprise 4.0.6 . . . . . . . .
32.4.1 Enterprise . . . . . . . . . . .
32.4.2 Enterprise Integrations Plugin
32.5 Graylog Enterprise 4.0.5 . . . . . . . .
32.5.1 Enterprise . . . . . . . . . . .
32.6 Graylog Enterprise 4.0.4 . . . . . . . .
32.6.1 Enterprise . . . . . . . . . . .
32.7 Graylog Enterprise 4.0.3 . . . . . . . .
32.7.1 Enterprise . . . . . . . . . . .
32.7.2 Enterprise Integrations Plugin
32.8 Graylog Enterprise 4.0.2 . . . . . . . .
32.8.1 Enterprise . . . . . . . . . . .
32.8.2 Enterprise Integrations Plugin
32.9 Graylog Enterprise 4.0.1 . . . . . . . .
32.9.1 Enterprise . . . . . . . . . . .
32.9.2 Enterprise Integrations Plugin
32.10 Graylog Enterprise 4.0.0 . . . . . . . .
32.10.1 Enterprise . . . . . . . . . . .
32.10.2 Enterprise Integrations Plugin
32.11 Graylog Enterprise 3.3.13 . . . . . . .
32.11.1 Enterprise . . . . . . . . . . .
32.12 Graylog Enterprise 3.3.12 . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
549
549
549
549
549
549
549
550
550
550
550
550
550
550
550
550
551
551
551
551
551
551
551
552
552
552
552
552
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
xv
32.13 Graylog Enterprise 3.3.11 . . . . . . .
32.14 Graylog Enterprise 3.3.10 . . . . . . .
32.14.1 Enterprise . . . . . . . . . . .
32.15 Graylog Enterprise 3.3.9 . . . . . . . .
32.15.1 Enterprise . . . . . . . . . . .
32.15.2 Enterprise Integrations Plugin
32.16 Graylog Enterprise 3.3.8 . . . . . . . .
32.16.1 Enterprise Integrations Plugin
32.17 Graylog Enterprise 3.3.7 . . . . . . . .
32.17.1 Enterprise Integrations Plugin
32.18 Graylog Enterprise 3.3.6 . . . . . . . .
32.18.1 Enterprise . . . . . . . . . . .
32.18.2 Enterprise Integrations Plugin
32.19 Graylog Enterprise 3.3.5 . . . . . . . .
32.20 Graylog Enterprise 3.3.4 . . . . . . . .
32.21 Graylog Enterprise 3.3.3 . . . . . . . .
32.22 Graylog Enterprise 3.3.2 . . . . . . . .
32.23 Graylog Enterprise 3.3.1 . . . . . . . .
32.24 Graylog Enterprise 3.3.0 . . . . . . . .
32.25 Graylog Enterprise 3.2.6 . . . . . . . .
32.26 Graylog Enterprise 3.2.5 . . . . . . . .
32.27 Graylog Enterprise 3.2.4 . . . . . . . .
32.28 Graylog Enterprise 3.2.3 . . . . . . . .
32.29 Graylog Enterprise 3.2.2 . . . . . . . .
32.30 Graylog Enterprise 3.2.1 . . . . . . . .
32.31 Graylog Enterprise 3.2.0 . . . . . . . .
32.32 Graylog Enterprise 3.1.4 . . . . . . . .
32.33 Graylog Enterprise 3.1.3 . . . . . . . .
32.34 Graylog Enterprise 3.1.2 . . . . . . . .
32.35 Graylog Enterprise 3.1.1 . . . . . . . .
32.36 Graylog Enterprise 3.1.0 . . . . . . . .
32.37 Graylog Enterprise 3.0.2 . . . . . . . .
32.38 Graylog Enterprise 3.0.1 . . . . . . . .
32.39 Graylog Enterprise 3.0.0 . . . . . . . .
32.40 Graylog Enterprise 2.5.2 . . . . . . . .
32.40.1 Plugin: License . . . . . . . .
32.41 Graylog Enterprise 2.5.1 . . . . . . . .
32.42 Graylog Enterprise 2.5.0 . . . . . . . .
32.43 Graylog Enterprise 2.4.7 . . . . . . . .
32.43.1 Plugin: License . . . . . . . .
32.44 Graylog Enterprise 2.4.6 . . . . . . . .
32.45 Graylog Enterprise 2.4.5 . . . . . . . .
32.46 Graylog Enterprise 2.4.4 . . . . . . . .
32.47 Graylog Enterprise 2.4.3 . . . . . . . .
32.48 Graylog Enterprise 2.4.2 . . . . . . . .
32.49 Graylog Enterprise 2.4.1 . . . . . . . .
32.50 Graylog Enterprise 2.4.0 . . . . . . . .
32.51 Graylog Enterprise 2.4.0-rc.2 . . . . .
32.52 Graylog Enterprise 2.4.0-rc.1 . . . . .
32.53 Graylog Enterprise 2.4.0-beta.4 . . . .
32.53.1 Plugin: License . . . . . . . .
32.54 Graylog Enterprise 2.4.0-beta.3 . . . .
32.55 Graylog Enterprise 2.4.0-beta.2 . . . .
32.56 Graylog Enterprise 2.4.0-beta.1 . . . .
xvi
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
553
553
553
553
553
553
554
554
554
554
554
554
554
555
555
555
555
555
556
556
556
557
557
557
557
557
558
558
558
558
558
559
559
559
559
559
560
560
560
560
560
560
560
561
561
561
561
561
561
561
562
562
562
562
32.56.1 Plugin: Archive .
32.57 Graylog Enterprise 2.3.2 .
32.57.1 Plugin: Archive .
32.58 Graylog Enterprise 2.3.1 .
32.58.1 Plugin: Archive .
32.59 Graylog Enterprise 2.3.0 .
32.59.1 Plugin: Archive .
32.60 Graylog Enterprise 2.2.3 .
32.60.1 Plugin: Archive .
32.61 Graylog Enterprise 2.2.2 .
32.61.1 Plugin: Audit Log
32.62 Graylog Enterprise 2.2.1 .
32.62.1 Plugin: Archive .
32.63 Graylog Enterprise 2.2.0 .
32.63.1 Plugin: Archive .
32.64 Graylog Enterprise 1.2.1 .
32.64.1 Plugin: Archive .
32.64.2 Plugin: Audit Log
32.65 Graylog Enterprise 1.2.0 .
32.65.1 Plugin: Archive .
32.65.2 Plugin: Audit Log
32.66 Graylog Enterprise 1.1 . .
32.67 Graylog Enterprise 1.0.1 .
32.67.1 Plugin: Archive .
32.68 Graylog Enterprise 1.0.0 .
32.68.1 Plugin: Archive .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
562
562
562
562
563
563
563
563
563
563
563
563
564
564
564
564
564
564
564
564
564
565
565
565
565
565
33 Graylog Integrations
33.1 Integrations Setup . . . . . . . . . . .
33.1.1 Installation . . . . . . . . . .
33.1.2 Server Restart . . . . . . . . .
33.1.3 Installation Success . . . . . .
33.2 Open Source . . . . . . . . . . . . . .
33.3 Enterprise . . . . . . . . . . . . . . . .
33.3.1 Forwarder . . . . . . . . . . .
33.3.2 Enterprise Output Framework
33.3.3 Microsoft Office 365 Input . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
567
567
567
569
569
569
569
570
575
582
34 GELF
34.1 Structured events from anywhere. Compressed and chunked.
34.2 GELF via UDP . . . . . . . . . . . . . . . . . . . . . . . .
34.2.1 Chunking . . . . . . . . . . . . . . . . . . . . . .
34.2.2 Compression . . . . . . . . . . . . . . . . . . . .
34.3 GELF via TCP . . . . . . . . . . . . . . . . . . . . . . . .
34.4 GELF Payload Specification . . . . . . . . . . . . . . . . .
34.5 Example payload . . . . . . . . . . . . . . . . . . . . . . .
34.5.1 Sending GELF messages via UDP using netcat . .
34.5.2 Sending GELF messages via TCP using netcat . .
34.5.3 Sending GELF messages via HTTP using curl . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
585
585
585
585
586
586
586
587
588
588
588
xvii
xviii
Graylog Documentation, Release 4.0.0
NOTE: There are multiple options for reading this documentation. See link to the lower left.
GRAYLOG
1
Graylog Documentation, Release 4.0.0
2
GRAYLOG
CHAPTER
ONE
ARCHITECTURAL CONSIDERATIONS
There are a few rules of thumb when scaling resources for Graylog:
• Graylog nodes should have a focus on CPU power. These also serve the user interface to the browser.
• Elasticsearch nodes should have as much RAM as possible and the fastest disks you can get. Everything depends
on I/O speed here.
• MongoDB is storing meta information and configuration data and doesn’t need many resources.
Also keep in mind that ingested messages are only stored in Elasticsearch. If you have data loss in the Elasticsearch
cluster, the messages are gone - except if you have created backups of the indices.
1.1 Minimum setup
This is a minimum Graylog setup that can be used for smaller, non-critical, or test setups. None of the components are
redundant, and they are easy and quick to setup.
3
Graylog Documentation, Release 4.0.0
Our Virtual Machine Appliances are using this design by default, deploying nginx as frontend proxy.
1.2 Bigger production setup
This is a setup for bigger production environments. It has several Graylog nodes behind a load balancer distributing
the processing load.
The load balancer can ping the Graylog nodes via HTTP on the Graylog REST API to check if they are alive and take
dead nodes out of the cluster.
4
Chapter 1. Architectural considerations
Graylog Documentation, Release 4.0.0
How to plan and configure such a setup is covered in our Multi-node Setup guide.
Some guides on the Graylog Marketplace also offer some ideas how you can use RabbitMQ (AMQP) or Apache Kafka
to add some queueing to your setup.
1.3 Graylog Architecture Deep Dive
If you are really interested in the Graylog architecture at a more detailed level - whether you want to understand
more for planning your architecture design, performance tuning, or just because you love stuff like that, our cheeky
engineering team has put together this deep architecture guide. It’s not for the faint at heart, but we hope you love it.
1.3. Graylog Architecture Deep Dive
5
