EN Contattaci

Graylog Open: log management Open Source per SIEM

Graylog, piattaforma Open Source di log management avviata da Lennart Koopmann nel 2009. Versione 1.0 rilasciata il 19 febbraio 2015. Backend Elasticsearch/OpenSearch + MongoDB, pipeline di processing, stream, alerting, dashboard.

CybersecurityOpen Source
CybersecurityOpen Source GraylogLog ManagementSIEMCybersecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan → Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Origini

Graylog nasce ad Amburgo nel 2009 come progetto personale di Lennart Koopmann, studente di informatica, con l’idea di creare un log management server Open Source alternativo agli strumenti commerciali allora dominanti. Il codice viene pubblicato su GitHub e la community cresce progressivamente.

Nel 2012 viene fondata TORCH GmbH (poi Graylog, Inc.) per supportare lo sviluppo commerciale. La sede principale è oggi a Houston, Texas, con presenza tecnica ad Amburgo.

Il 19 febbraio 2015 viene rilasciata Graylog 1.0, prima release stabile.

Architettura

Graylog combina tre componenti:

  • Graylog server — applicazione JVM che riceve log, applica pipeline e gestisce API/UI
  • Elasticsearch / OpenSearch — backend di storage e ricerca full-text
  • MongoDB — metadati di configurazione (stream, dashboard, utenti, ruoli)

L’ingestion supporta syslog (UDP/TCP/TLS), GELF (Graylog Extended Log Format), Beats, AWS CloudWatch, Kafka, Raw TCP/UDP. La normalizzazione avviene tramite extractor e pipeline processing rules, con una sintassi DSL dedicata.

Funzionalità

  • Stream — instradamento di messaggi in flussi logici, con regole di filtro
  • Pipeline — trasformazioni in sequenza (grok, parsing JSON, geoip, lookup tables)
  • Alerting — condizioni su stream, notifiche email/webhook/Slack/PagerDuty
  • Dashboard — widget configurabili per metriche e ricerche
  • Search workflow — query language ispirato a Lucene con scope temporale e stream

Licenza

La situazione di licenza è articolata:

  • Graylog Open Source — versione community sotto GPLv3
  • Graylog Enterprise — edizione commerciale con funzionalità aggiuntive (archiving, audit log, report, correlation per SIEM)

Graylog Inc. è l’azienda di riferimento per supporto e funzionalità enterprise.

SIEM e security analytics

Il core apre alla composizione di pipeline, stream, alerting e dashboard — sufficienti per deployment SIEM-lite con integrazioni esterne. Regole di detection e arricchimenti sono tipicamente implementati via pipeline e stream custom.

Nel contesto italiano

Graylog è adottato da ISP, MSSP, PA e medie imprese come piattaforma di log centralizzato, spesso in combinazione con Wazuh o Suricata per l’arricchimento di eventi security. La curva di apprendimento contenuta e l’interfaccia web matura lo rendono una scelta frequente dove ELK è percepito come troppo complesso da gestire.

Riferimenti: Graylog 1.0 (19 febbraio 2015). Avviato da Lennart Koopmann ad Amburgo nel 2009. Sede Graylog, Inc.: Houston, Texas + Amburgo. Licenza GPLv3. Backend Elasticsearch + MongoDB. Sito: https://graylog.org

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi