Logmanagement mit Graylog
Datenfluss
Veröffentlicht in Ausgabe 01/2026 - SCHWERPUNKT
Ein funktionierendes Logmanagement gehört zu den Grundpfeilern jeder sicheren IT-Infrastruktur. Protokolle aus Servern, Firewalls, Switches oder Anwendungen liefern wertvolle Hinweise auf Systemfehler, Sicherheitsvorfälle und ungewöhnliche Aktivitäten. Ohne zentrale Erfassung bleiben diese Informationen jedoch oft ungenutzt. Gerade in heterogenen Umgebungen aus Windows-, Linux- und Netzwerksystemen ist eine einheitliche Auswertung entscheidend, um Anomalien frühzeitig zu erkennen.
Hier setzt Graylog [1] an: Die Open-Source-Software zentralisiert System- und Anwendungsprotokolle, wertet sie strukturiert aus und macht sicherheitsrelevante Ereignisse in Echtzeit sichtbar. Sie läuft stabil auf Ubuntu, benötigt keine kommerziellen Komponenten und lässt sich flexibel an individuelle Anforderungen anpassen. In der Praxis bewährt sich Graylog als skalierbares Werkzeug, das Logs unterschiedlicher Systeme bündelt, filtert und übersichtlich aufbereitet. Bevor Sie Graylog installieren, ist es hilfreich, die Systemarchitektur zu verstehen und die beteiligten Komponenten richtig einzuordnen.
Systemarchitektur im Überblick
Graylog besteht aus drei zentralen Bausteinen: MongoDB speichert Konfigurationsdaten und Benutzerinformationen. Der Graylog Data Node übernimmt die Indexierung und die Kommunikation mit der Suchmaschine OpenSearch. Der eigentliche Graylog-Server stellt Weboberfläche, REST-API und Verarbeitungspipelines bereit. Diese Struktur erlaubt es, Datenströme getrennt zu verwalten und den Suchdienst unabhängig von der Webkomponente zu skalieren.
Ein funktionierendes Logmanagement gehört zu den Grundpfeilern jeder sicheren IT-Infrastruktur. Protokolle aus Servern, Firewalls, Switches oder Anwendungen liefern wertvolle Hinweise auf Systemfehler, Sicherheitsvorfälle und ungewöhnliche Aktivitäten. Ohne zentrale Erfassung bleiben diese Informationen jedoch oft ungenutzt. Gerade in heterogenen Umgebungen aus Windows-, Linux- und Netzwerksystemen ist eine einheitliche Auswertung entscheidend, um Anomalien frühzeitig zu erkennen.
Hier setzt Graylog [1] an: Die Open-Source-Software zentralisiert System- und Anwendungsprotokolle, wertet sie strukturiert aus und macht sicherheitsrelevante Ereignisse in Echtzeit sichtbar. Sie läuft stabil auf Ubuntu, benötigt keine kommerziellen Komponenten und lässt sich flexibel an individuelle Anforderungen anpassen. In der Praxis bewährt sich Graylog als skalierbares Werkzeug, das Logs unterschiedlicher Systeme bündelt, filtert und übersichtlich aufbereitet. Bevor Sie Graylog installieren, ist es hilfreich, die Systemarchitektur zu verstehen und die beteiligten Komponenten richtig einzuordnen.
Systemarchitektur im Überblick
Graylog besteht aus drei zentralen Bausteinen: MongoDB speichert Konfigurationsdaten und Benutzerinformationen. Der Graylog Data Node übernimmt die Indexierung und die Kommunikation mit der Suchmaschine OpenSearch. Der eigentliche Graylog-Server stellt Weboberfläche, REST-API und Verarbeitungspipelines bereit. Diese Struktur erlaubt es, Datenströme getrennt zu verwalten und den Suchdienst unabhängig von der Webkomponente zu skalieren.
In einer typischen Umgebung laufen MongoDB und Graylog auf demselben Host, während der Data Node auf einem separaten Server oder in einer virtuellen Maschine betrieben wird. Diese Trennung verbessert die Performance und verringert das Risiko, dass Indizierungsvorgänge den Webdienst blockieren.
Graylog im Netzwerk integrieren
Graylog lässt sich flexibel betreiben – als klassische Serverinstallation, im Cluster mit mehreren Knoten oder containerisiert über Docker Compose. In größeren Umgebungen können Sie die Plattform in virtuelle Maschinen oder Kubernetes-Cluster einbinden, um hohe Verfügbarkeit und Lastverteilung sicherzustellen. Für den Einstieg bietet sich der eigenständige Betrieb unter Ubuntu an. Diese Variante gibt Ihnen die volle Kontrolle über Installation, Speicherort, Sicherheit und Updates.
Das System sollte mindestens vier CPU-Kerne, 8 GByte Arbeitsspeicher und ausreichend schnellen Massenspeicher bereitstellen. Für produktive Umgebungen empfiehlt Graylog das XFS-Dateisystem, da es mit großen Journaldateien besonders effizient umgeht. Eine korrekte Zeitzoneneinstellung ist ebenfalls wichtig, damit Logdaten aus unterschiedlichen Quellen zeitlich richtig zugeordnet werden. Unter Ubuntu erledigen Sie das im Terminal mit:
sudo timedatectl set-timezone UTC
Der Befehl stellt die Zeitzone auf UTC (Koordinierte Weltzeit). Für Systeme in Mitteleuropa verwenden Sie stattdessen:
sudo timedatectl set-timezone Europe/Berlin
Damit nutzt das System automatisch die richtige Mitteleuropäische Zeit (CET) sowie die Sommerzeitumstellung (CEST). Mit
timedatectl prüfen Sie, ob die Einstellung übernommen wurde. In der Ausgabe sollte erscheinen: Time zone: Europe/Berlin (CEST, +0200)
MongoDB einrichten
Graylog verwendet MongoDB als Metadatenbank. Unter Ubuntu installieren Sie das Paket über das offizielle Repository des Herstellers. Beginnen Sie mit der Installation von GnuPG und curl:
sudo apt install gnupg curl
Importieren Sie anschließend den öffentlichen Schlüssel von MongoDB:
curl -fsSL https://www.mongodb.org/static/pgp/server-8.0.asc -o server-8.0.asc
sudo gpg -o /usr/share/keyrings/ mongodb-server-8.0.gpg --dearmor server-8.0.asc
Legen Sie nun die Repository-Datei an:
echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-8.0.gpg ] https://repo. mongodb.org/apt/ubuntu noble/ mongodb-org/8.0 multiverse" > mongodb-org-8.0.list
sudo mv mongodb-org-8.0.list /etc/apt/sources.list.d/ mongodb-org-8.0.list
Aktualisieren Sie anschließend die Paketlisten und installieren Sie MongoDB:
sudo apt update
sudo apt install -y mongodb-org
MongoDB speichert alle Konfigurationsdaten, Benutzerinformationen und internen Metadaten von Graylog. Änderungen an dieser Datenbank wirken sich direkt auf die Stabilität des Gesamtsystems aus. Damit Ubuntu beim Aktualisieren keine inkompatible MongoDB-Version installiert, sperren Sie das Paket für automatische Updates:
sudo apt-mark hold mongodb-org
Mit diesem Befehl verhindert apt zukünftige Versionssprünge, bis Sie die Sperre mit
sudo apt-mark unhold mongodb-org wieder aufheben. Standardmäßig nimmt MongoDB nur lokale Verbindungen an. Für den Einsatz im Netzwerk passen Sie die Konfiguration an: sudo nano /etc/mongod.conf
In der Sektion ”net” ändern Sie den Bind-Befehl wie folgt:
net:
port: 27017
bindIpAll: true
Damit akzeptiert MongoDB Verbindungen auf allen Interfaces. Alternativ können Sie eine feste Adresse angeben. Starten und aktivieren Sie anschließend den Dienst:
sudo systemctl daemon-reload
sudo systemctl enable mongod
sudo systemctl start mongod
Prüfen Sie zum Abschluss, ob MongoDB korrekt läuft:
sudo systemctl status mongod
Data Node bereitstellen
Der Data Node bildet die Schnittstelle zwischen Graylog und OpenSearch. Er übernimmt Indizierung, Suche und Verwaltung der Logdaten. Richten Sie zunächst das Repository ein:
wget https://packages.graylog2.org/ repo/packages/graylog-6.3-repository_latest.deb
sudo dpkg -i graylog-6.3-repository_latest.deb
sudo apt update
Installieren Sie nun den Data Node:
sudo apt install graylog-datanode
Graylog verwendet OpenSearch als Such- und Speicherbackend für Logdaten. OpenSearch verwaltet Indizes, Caches und Suchabfragen im Arbeitsspeicher. Damit dieser effizient genutzt werden kann, benötigt das System ausreichend Mapping-Bereiche. Diese Zahl legen Sie über den Kernelparameter "vm.max_ map_count" fest. Er bestimmt, wie viele Speichersegmente ein Prozess gleichzeitig abbilden darf. Auf vielen Ubuntu-Systemen ist der Standardwert zu niedrig, was den Start von OpenSearch mit einer Fehlermeldung verhindert. Setzen Sie daher den Parameter dauerhaft mit den folgenden Befehlen:
echo "vm.max_map_count=262144" | sudo tee -a /etc/sysctl.d/ 99-graylog-datanode.conf
sudo sysctl --system
Der erste Befehl schreibt den Parameter in eine separate Konfigurationsdatei, der zweite lädt alle Systemparameter neu. Damit erlaubt der Kernel bis zu 262.144 Speicherabbildungen gleichzeitig. Anschließend passen Sie die Konfiguration des Data Node an:
sudo nano /etc/graylog/datanode/ datanode.conf
Tragen Sie an dieser Stelle die zentralen Parameter ein:
mongodb_uri = mongodb://localhost:27017/graylog
opensearch_heap = 8g
Der Wert "opensearch_heap" legt den maximal nutzbaren Arbeitsspeicher für den Suchdienst fest. 8 GByte sind bei 16 GByte System-RAM ein bewährter Richtwert. Für die interne Absicherung benötigen Sie außerdem ein Passwort-Secret. Erzeugen Sie es mit:
openssl rand -hex 32
Kopieren Sie den erzeugten Wert in die Konfiguration:
password_secret = <Ihr generierter Wert>
Starten und aktivieren Sie anschließend den Dienst:
sudo systemctl enable graylog-datanode
sudo systemctl start graylog-datanode
Prüfen Sie danach, ob der Data Node korrekt läuft:
sudo systemctl status graylog-datanode.service
Wenn die Einrichtung erfolgreich war, erscheint in der Ausgabe eine Zeile wie:
Active: active (running) since Fri 2025-10-10 10:24:33 CET; 15s ago
Die Meldung bestätigt, dass der Data Node aktiv ist. Hinweise wie "failed", "inactive" oder "error" deuten auf ein Problem hin – etwa eine falsche Speicherzuweisung, fehlende Berechtigungen oder eine nicht erreichbare MongoDB-Verbindung. Sehen Sie sich in diesem Fall das Logfile an:
sudo journalctl -u graylog-datanode.service -xe
Hier finden Sie detaillierte Einträge zu Startvorgängen und Fehlermeldungen, falls OpenSearch oder der Data Node nicht korrekt hochfahren.
Graylog-Server konfigurieren und starten
Der Graylog-Server übernimmt Verwaltung, Analyse und Bereitstellung der Weboberfläche. Installieren Sie das Paket auf demselben Host, auf dem auch MongoDB ihren Dienst verrichtet:
sudo apt install graylog-server
Erzeugen Sie anschließend das Administrationspasswort als SHA256-Hash:
echo -n <"Ihr Passwort"> | sha256sum | cut -d" " -f1
Öffnen Sie danach die Konfigurationsdatei:
sudo nano /etc/graylog/server/ server.conf
Tragen Sie hier die zentralen Parameter ein:
root_password_sha2 = <der erzeugte Hash>
password_secret = <identisch mit Data Node>
http_bind_address = 0.0.0.0:9000
Der Eintrag "http_bind_address" legt fest, auf welcher IP-Adresse die Weboberfläche lauscht. In internen Netzwerken kann hier 0.0.0.0 stehen. Für öffentlich erreichbare Systeme empfiehlt sich ein Reverse Proxy mit TLS. Optimieren Sie außerdem die Journaleinstellungen, die festlegen, wie viele Nachrichten Graylog zwischenspeichert, wenn der Data Node nicht erreichbar ist:
message_journal_max_age = 72h
message_journal_max_size = 90gb
Die Java-Heap-Größe konfigurieren Sie in der Datei "/etc/default/graylog-server". Sie steuert, wie viel Arbeitsspeicher die Java Virtual Machine (JVM) für den Dienst reserviert. Öffnen Sie die Datei:
sudo nano /etc/default/graylog-server
Suchen oder ergänzen Sie den Eintrag "GRAYLOG_SERVER_JAVA_OPTS" und passen Sie ihn an. Eine bewährte Konfiguration lautet:
GRAYLOG_SERVER_JAVA_OPTS="-Xms2g -Xmx2g -server -XX:+UseG1GC"
Der Parameter "-Xms2g" legt den minimalen Heap-Speicher auf 2 GByte fest, "-Xmx2g" den maximalen. Mit "-server" aktivieren Sie den Servermodus der JVM, der für dauerhafte Prozesse optimiert ist. "-XX:+UseG1GC" schaltet den Garbage Collector G1 ein, der Speicher effizienter verwaltet und Latenzen reduziert. Laden Sie die Konfiguration anschließend neu:
sudo systemctl daemon-reload
sudo systemctl restart graylog- server.service
Prüfen Sie, ob der Dienst fehlerfrei läuft und die neuen Einstellungen übernommen wurden:
sudo systemctl status graylog- server.service
Wenn in der Ausgabe der Zustand "active (running)" erscheint, ist der Server korrekt gestartet. Aktivieren Sie den automatischen Start und initiieren Sie den Dienst endgültig:
sudo systemctl daemon-reload
sudo systemctl enable graylog-server
sudo systemctl start graylog-server
Nach einigen Sekunden erreichen Sie die Weboberfläche über "http://<Server-IP>:9000". Den temporären Administratorzugang finden Sie im Logfile mit:
sudo grep -i -E "preflight|initial|generated| admin|password" /var/log/ graylog-server/server.log
Einrichtung von Graylog abschließen
Nach der Anmeldung an der Weboberfläche startet die Initialkonfiguration von Graylog. Dabei prüft das System, ob die Data Nodes erreichbar sind und richtet eine Zertifikatsinfrastruktur ein. Sie können eine vorhandene interne CA verwenden oder über "Create CA" eine neue erstellen; für Neuinstallationen ist Letzteres ausreichend. Graylog erzeugt daraufhin automatisch eine interne Zertifizierungsstelle, die ausschließlich für die verschlüsselte Kommunikation zwischen Server und Data Nodes genutzt wird, und verteilt die notwendigen Zertifikate.
Nachdem Sie die automatische Erneuerung der Zertifikate aktiviert haben, initialisiert Graylog die Indizes und startet den Cluster vollständig. In der Übersicht sollte anschließend mindestens ein Data Node mit dem Status "running" erscheinen. Treten Fehler wie "lock_open … error" auf, ist die Zertifikatsverteilung meist noch nicht abgeschlossen oder fehlerhaft. Überprüfen Sie in diesem Fall die CA-Konfiguration und wiederholen Sie die Bereitstellung. Nach erfolgreicher Registrierung arbeitet Graylog vollständig verschlüsselt; die Anmeldung erfolgt nun mit dem Benutzer "admin" und dem während der Installation gesetzten Kennwort.
Inputs und Streams konfigurieren
Graylog empfängt die Logdaten über definierte Inputs. Typische Protokolle hierfür sind Syslog, GELF oder Beats. Im Webmenü "System / Inputs" fügen Sie neue Quellen hinzu.
Ein Beispiel für Syslog über UDP:
Typ: Syslog UDP
Port: 1514
Bind-Adresse: 0.0.0.0
Titel: Syslog Input
Da der Standard-Port 514 Root-Rechte erfordert, empfiehlt sich Port 1514. Nach dem Start des Inputs zeigt die Oberfläche an, wie viele Nachrichten eintreffen. Für Windows-Systeme bietet sich der Beats-Input an. Dieser lauscht standardmäßig auf Port 5044 und nimmt Daten von Winlogbeat oder Filebeat entgegen.
Streams dienen der Trennung von Datenströmen. Unter "Streams / Create Stream" legen Sie einen neuen Kanal an, der zum Beispiel alle Windows-Logs aufnimmt. Aktivieren Sie die Option "Remove matches from Default Stream", um doppelte Speicherung zu vermeiden. Eine Regel vom Typ "Always match" sorgt dafür, dass alle passenden Nachrichten in den Stream fließen.
Unter "System / Indices" definieren Sie für jeden Stream ein eigenes Index-Set. Darüber steuern Sie, wie lange Graylog Daten aufbewahrt. Eine Rotation nach 30 Tagen mit anschließender Löschung verhindert, dass die Datenmenge unnötig wächst.
Logs aus Proxmox VE einbinden
Linux-Systeme mit rsyslog können ihre Protokolle direkt an Graylog senden. Eine passende Konfigurationsdatei unter "/etc/ rsyslog.d/graylog.conf" enthält etwa:
*.* @graylog.example.com:1514; RSYSLOG_SyslogProtocol23Format
Nach einem Neustart von rsyslog erscheinen die Nachrichten im Stream. Virtuelle Umgebungen wie Proxmox VE erzeugen fortlaufend umfangreiche Systemprotokolle – etwa zu VM-Starts, Migrationsvorgängen, Storage-Zugriffen oder Authentifizierungen. Durch die zentrale Erfassung in Graylog behalten Sie den Überblick und erkennen schnell Fehler im Cluster-Betrieb, fehlerhafte Storage-Replikationen oder auffällige Anmeldeversuche.
Proxmox VE verwendet rsyslog als Logdienst und kann seine Syslog-Meldungen direkt an Graylog weiterleiten. Öffnen Sie auf dem Proxmox-Host eine Shell und legen Sie eine neue Konfigurationsdatei unter "/etc/rsyslog.d/" an:
sudo nano /etc/rsyslog.d/graylog.conf
Fügen Sie folgende Zeilen ein:
*.* @graylog.example.local: 1514;RSYSLOG_SyslogProtocol23Format
Wenn Graylog UDP nicht akzeptieren soll, verwenden Sie stattdessen TCP:
*.* @@graylog.example.local: 1514;RSYSLOG_SyslogProtocol23Format
Das doppelte "@" steht dabei für TCP, das einfache für UDP. Speichern Sie die Datei und laden Sie den rsyslog-Dienst neu:
sudo systemctl restart rsyslog
Ab diesem Zeitpunkt sendet der Proxmox-Host sämtliche System- und Cluster-Logs an Graylog. Legen Sie dort wie zuvor beschrieben einen Syslog-UDP-Input auf Port 1514 an, um die eingehenden Meldungen zu verarbeiten. Anschließend können Sie die Logs in Graylog nach Hostname, Node oder Service trennen. Prüfen Sie dazu den Hostnamen mit
hostnamectl. Der angezeigte Name erscheint später als Quelle in Graylog und hilft, die Nachrichten verschiedener Proxmox-Knoten zu unterscheiden.In der Datei "/etc/rsyslog.conf" oder einer separaten Konfigurationsdatei unter "/etc/ rsyslog.d/" definieren Sie den Zielhost mit IP-Adresse und Port des Graylog-Servers. Eine funktionierende Konfiguration sieht dann so aus:
*.* @graylog.example.local:1514; RSYSLOG_SyslogProtocol23Format
Starten Sie den rsyslog-Dienst erneut, damit alle System- und VM-Logs automatisch in den zuvor eingerichteten Syslog-Input fließen:
sudo systemctl restart rsyslog
Im Graylog-Interface können Sie diese Nachrichten über einen eigenen Stream erfassen und nach Quelle, VM-Namen oder Storage-Ereignissen filtern. Mithilfe von Extraktoren oder Pipelines lassen sich zusätzliche Felder wie Node-Name, VM-ID oder Storage-Pool automatisch erkennen. In Dashboards visualisieren Sie anschließend Auslastung, Migrationen und Fehlermuster in Echtzeit.
Windows-Server an Graylog anbinden
Windows-Systeme binden Sie über Graylog Sidecar an. Das Hilfsprogramm steuert und konfiguriert den eigentlichen Log-Collector, in der Regel Winlogbeat, der Windows-Ereignisprotokolle an Graylog überträgt.
Erstellen Sie zunächst in der Graylog-Weboberfläche einen API-Schlüssel für die Authentifizierung des Sidecar-Dienstes. Öffnen Sie dazu "System / Users and Teams", wählen Sie den gewünschten Benutzer aus und klicken Sie auf "Create Token". Notieren Sie den angezeigten Token, da Sie ihn beim Setup benötigen.
Die Installationsdateien finden Sie auf GitHub unter [2]. Laden Sie das passende Windows-Installationspaket herunter und starten Sie es mit administrativen Rechten. Geben Sie während des Setups folgende Parameter an:
Graylog Server URL: <http://graylog.example.local:9000/api>
API Token: <Ihr zuvor erzeugter Schlüssel>
Collector: <Winlogbeat>
Nach der Installation registriert sich der Sidecar-Dienst automatisch als Windows-Service. Prüfen Sie den Status mit
Get-Service Graylog* über die PowerShell.Beide Dienste – Graylog Sidecar und Winlogbeat – müssen den Status "Running" anzeigen. Öffnen Sie anschließend in der Graylog-Weboberfläche den Bereich "System / Sidecars". Der neue Windows-Host erscheint dort kurz danach in der Liste.
Erstellen Sie nun unter "System / Sidecars / Configuration" eine neue Collector-Konfiguration. Wählen Sie als Collector "Winlogbeat on Windows" und definieren Sie die gewünschten Logquellen, etwa Application, System und Security. Das Beispiel im Listing-Kasten zeigt eine einfache Grundkonfiguration.
Listing: Beispielkonfiguration für Winlogbeat
winlogbeat.event_logs:
- name: Application
level: critical, error, warning
- name: Security
level: information, error, warning
- name: System
level: critical, error, warning
output.logstash:
hosts: ["graylog.example.local:5044"]
Diese Konfiguration leitet alle relevanten Ereignisse per Beats-Input an Graylog weiter. Sobald sie aktiv ist, erscheinen die Windows-Logs im Suchbereich der Weboberfläche. Damit steht eine zentrale Überwachung zur Verfügung, in der Sie Ereignisse aus Linux-, Netzwerk- und Windows-Systemen gemeinsam analysieren und korrelieren können.
Dashboards und Auswertung
Unter dem Menüpunkt "Search" prüfen Sie eingehende Nachrichten. Graylog erkennt viele Formate automatisch und teilt die Daten in einzelne Felder auf. Mithilfe der Query Language formulieren Sie gezielte Suchabfragen, etwa:
source:server1 AND level:ERROR
Für die Visualisierung erstellen Sie Dashboards, die Kennzahlen wie Logvolumen, Fehlerraten oder Ereignisquellen abbilden. Öffnen Sie dazu "Dashboards / Create new Dashboard" und fügen Sie das Widget "Message Count" hinzu. Ein weiteres Widget zeigt etwa die häufigsten Quellen über eine Aggregation des Felds "source".
Für sicherheitsrelevante Ereignisse lohnt sich die Einrichtung von Events und Alerts. Eine Event Definition reagiert auf bestimmte Muster und löst Benachrichtigungen aus – etwa per E-Mail oder Webhook:
Search Query: _exists_:operator_alert
Execute search every: 5 seconds
Notification Type: Custom HTTP Notification
Auf diese Weise kann Graylog Fehlermeldungen oder Warnungen direkt an ein Chatsystem oder einen Incident-Management-Dienst übermitteln.
Fazit
Graylog lässt sich flexibel in heterogene IT-Umgebungen integrieren. Dank modularer Architektur und offener Schnittstellen eignet es sich sowohl für kleinere Installationen als auch für umfangreiche Unternehmensnetzwerke. Mit einer sorgfältigen Konfiguration entsteht eine stabile und skalierbare Plattform für zentrales Logmanagement. Sie unterstützt Administratoren bei Fehlersuche, Sicherheitsanalyse und Compliance und schafft Transparenz über alle Systeme hinweg.
(ln)
Links
[1] Graylog: https://graylog.org/
[2] Release-Verzeichnis von Graylog: https://github.com/Graylog2/collector-sidecar/releases