基礎概念

Content Packs 是 Graylog 用來匯出與匯入整組監控與分析設定的打包機制。透過 Content Packs，可以將 inputs、streams、dashboards、extractors、alert 設定等一次性匯出為 JSON 檔案，再匯入到其他 Graylog，共享或備份整個環境配置。主要優勢包括：

• 快速部署：新環境直接套用現成模板
• 一致性：多節點集群使用相同設定
• 版本控管：設定變更可透過版本化管理

在 Web 介面管理 Content Packs

1. 登入 Graylog Web 介面，進入「System/Content Packs」頁籤
2. 點擊 Upload 按鈕，即可從本地 JSON 檔案匯入並安裝

將本地設定匯出為 Content Pack

1. 開啟匯出對話框

   1. 在 Web 介面選擇「System/Content Packs」→「Create a Content Pack」
   2. 填寫 Name, Summary, Vendor 等資訊

2. 選擇組件

   透過列表勾選要包含的設定項

3. 設定參數

   若組件使用參數化（如 Stream 名稱、Index 前綴等），可在「Parameters」區域預設預留值，讓匯入時快速套用。

4. 執行匯出

   按下「Create」後，Graylog 會生成一份包含所有選定組件的 JSON 檔案。將該檔下載到本地，即完成 export 步驟。

透過 docker-compose.yml 自動匯入 Content Pack

在 docker-compose.yml 的 graylog 服務中加入以下環境變數：

services:
  graylog:
    image: graylog/graylog:6.3
    environment:
      GRAYLOG_CONTENT_PACKS_LOADER_ENABLED: true
      GRAYLOG_CONTENT_PACKS_DIR: "/usr/share/graylog/data/contentpacks"
      GRAYLOG_CONTENT_PACKS_AUTO_INSTALL: "<your-content-pack.json>"
    volumes:
      - <path-to-content-packs>:/usr/share/graylog/data/contentpacks

操作步驟：

1. 將匯出的 Content Pack JSON 檔案放置於本地指定目錄
2. 在 docker-compose.yml 中設定上述環境變數
3. 啟動容器後，Graylog 會自動載入並安裝指定的 Content Pack

手動匯入到其他 Graylog 容器

若不使用自動安裝，也可手動匯入：

1. 啟動新的 Graylog 容器，並完成基本連線設定
2. 登入 Web 介面 →「System/Content Packs」→「Upload」
3. 選擇先前匯出的 JSON 檔並上傳
4. 若有參數化設定，於匯入畫面填入對應值
5. 按「Install」後，所有組件即會自動創建並套用