Graylog2 เป็นโปรแกรม open source ที่มีหน้าที่จัดการ log เฉกเช่นเดียวกับ Splunk หรือ Loggly ที่มีความสามารถในการค้นหา และวิเคราะห์ผลออกจากไฟล์ log ได้ โดย log ทั้งหมดจะต้องถูกส่งมายัง log server เหล่านี้ หรือเราอาจจะเรียกได้ว่า Centralize Log System

โดย Graylog2 เองนั้นก็มีความน่าสนใจหลายอย่าง ไม่ว่าจะเป็นการนำ ElasticSearch เข้ามาใช้งานในเก็บข้อความ ความสามารถที่จะรับข้อมูลผ่านทาง TCP/UDP รวมไปถึง AMQP (message queue) ได้ และที่สำคัญคือมี Web interface ที่สวยงามและใช้งานได้ง่ายคล้ายกับ Splunk โดยตัว Web interface ถูกพัฒนาขึ้นด้วย Ruby on Rails และใน version หน้า 0.9.7 Graylog2 เองนั้นก็จะรองรับ ElasticSearch แบบ multiple instace รวมถึงตัว Graylog2 server ด้วย

ความสามารถของ Graylog2

– ค้นหา Keyword จากไฟล์ log ใดๆ ที่ถูกป้อนเข้ามาได้อย่างรวดเร็ว จากการใช้ความสามารถของ ElasticSearch ทำให้เราสามารถหา ข้อความที่ต้องการจาก ข้อความจำนวนเป็นล้านๆ ได้ในไม่ถึงวินาที

– สร้าง Stream ของ log จากข้อมูลที่ป้อนเข้ามา โดย stream นี้อาจจะเป็น input source, regex pattern หรือ custom field ที่ถูกกำหนดมาใน GELF เป็นต้น

– แจ้งเตือนหากมีข้อความปรากฎใน Stream มากกว่า x ครั้งขึ้นไป

– เก็บรักษา log ไว้ตามจำนวนวันที่กำหนด

– มี Query สำหรับการวิเคราะห์ log เบื้องต้น เช่นการนับจำนวนของ Keyword ที่ปรากฎขึ้นใน log

อย่างไรก็ตามข้อเสียจากการใช้ ElasticSearch ก็คือ พื้่นที่ ที่ใช้ในการเก็บ log จะเพิ่มขึ้นเป็นสองหรือสามเท่าตัว ขึ้นกับลักษณะของข้อความ