Graylog Inputs

在 Graylog 的日誌處理流程中，輸入源（Inputs） 是所有資料流進入系統的入口點。它決定了 Graylog 如何接收不同協議與來源的日誌資料，例如 Syslog、GELF、Beats 或 HTTP。一旦日誌能順利送進 Graylog，後續的解析、路由與可視化才能進行。

新增輸入源的步驟

1. 登入 Graylog Web 介面，進入 System → Inputs。
2. 在「Select input」下拉選單中選擇一種常見輸入類型，例如 GELF UDP（適合快速測試）。
3. 點擊「Launch new input」後，填寫以下基本參數：
   • Title：自訂名稱，用來識別這個輸入源。
   • Bind address：預設可設為 0.0.0.0，表示所有網卡均可接收。
   • Port：輸入源對外開放的監聽端口，例如 12201。
   • Node：選擇綁定的 Graylog 節點，一般單節點部署時直接選擇即可。
4. 儲存配置後，稍等數秒該 Input 就會開始運作，你能在列表中看見它的運行狀態顯示為「Running」。

測試輸入源

假設我們建立了一個 GELF UDP 的輸入源，監聽在 12201 端口，可以用最簡單的指令來模擬送出一筆訊息：

echo '{ "short_message": "hello graylog" }' | nc -w 1 -u 127.0.0.1 12201

此時回到 Graylog 的 Search 頁面，應能看到剛送出的訊息被收錄。

常見管理操作

• 查看狀態：每個 Input 都能在 Web 介面看到狀態（Running/Failed），若顯示 Failed，需要檢查是否端口已被佔用。
• 修改配置：可隨時點擊 Input 名稱進入編輯，例如變更端口或限制來源。
• 刪除輸入源：移除不用的 Input，以避免資源浪費或不必要的安全風險。
• 安全建議：務必在防火牆上限制可傳送日誌的來源 IP，避免讓所有外部流量都能打開 Input 端口。

與後續模組的銜接

雖然 Inputs 已經能接收到日誌，但日誌本身往往缺乏結構化。接下來通常需要透過 Extractors 或 Pipelines 去解析字段，並利用 Streams 來路由到不同索引中。輸入源只是「入口」，後續還有一系列的處理階段能讓日誌更有價值。