本文是自行翻譯自 Graylog 官方文件再加上自己操作的一些畫面。
Graylog 版本是 v.3.3.2。
如何建立一個 Stream?
- 到上面的 navigation bar 點選「Streams」到「Streams」的頁面。
- 點選右上角的「Create Stream」按鈕。
- 輸入 stream 的名稱(title)跟描述(description)之後,按下儲存。例如,stream 名稱是「All error messages」,描述是「Catching all error messages from all sources」。按下儲存後,stream 會被儲存但還沒有被啟用。
- 點選「Manage Rules」按鈕,會到可以管理跟測試 stream 規則的頁面。
- 選擇你要評估 stream 規則的方式來決定哪些 messages 會被歸類在這個 stream 中:
- A message must match all of the following rules(邏輯上的 AND):message 只有在符合所有規則的時候才會被歸類在這個 stream 中。這個是預設行為。
- A message must match at least one of the following rules(邏輯上的 OR):message 在符合其中一個規則的時候就會被歸類在這個 stream 中。
- 按下「Add stream rule」按鈕來新增規則。輸入想要檢查的欄位(field)跟應該要滿足的條件,例如 level 欄位值應該要是 6。
- 可以選擇 input 來源來載入一個 message,或是直接給一個 message ID 跟 index 名稱(例如 graylog_0)來測試這個規則。如果該 message 符合規則的話,會出現「This message would be routed to this stream!」的綠色訊息。若測試的結果符合期待的話,可以點選「I’m done!」按鈕結束編輯。
- 這個 stream 依然尚未被啟動,要點選「Start Stream」按鈕來啟動才行。
到這裡是官方文件的建立 stream 的步驟,雖然每個步驟都了解了,但還是沒有成功地看到有 message 進入新建的 stream 當中… 但是在 Elasticsearch 中,仔細看資料,是發現在 streams 欄位中,是有「All error messages」的 stream ID(5f0bff29aabe9064c8922c85)的,只是在 Graylog UI 不知道為什麼還沒看到,可能要等等…吧?
