EN Contattaci

Graylog Open: log management open source per SIEM

Graylog, piattaforma open source di log management avviata da Lennart Koopmann nel 2009. Versione 1.0 rilasciata il 19 febbraio 2015. Backend Elasticsearch/OpenSearch + MongoDB, pipeline di processing, stream, alerting, dashboard.

Cyber SecurityOpen Source
Cyber SecurityOpen Source GraylogLog ManagementSIEMCyber SecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →Cyber Security

Cyber Security

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Origini

Graylog nasce ad Amburgo nel 2009 come progetto personale di Lennart Koopmann, studente di informatica, con l’idea di creare un log management server open source alternativo agli strumenti commerciali allora dominanti. Il codice viene pubblicato su GitHub e la community cresce progressivamente.

Nel 2012 viene fondata TORCH GmbH (poi Graylog, Inc.) per supportare lo sviluppo commerciale. La sede principale è oggi a Houston, Texas, con presenza tecnica ad Amburgo.

Il 19 febbraio 2015 viene rilasciata Graylog 1.0, prima release stabile.

Architettura

Graylog combina tre componenti:

  • Graylog server — applicazione JVM che riceve log, applica pipeline e gestisce API/UI
  • Elasticsearch / OpenSearch — backend di storage e ricerca full-text
  • MongoDB — metadati di configurazione (stream, dashboard, utenti, ruoli)

L’ingestion supporta syslog (UDP/TCP/TLS), GELF (Graylog Extended Log Format), Beats, AWS CloudWatch, Kafka, Raw TCP/UDP. La normalizzazione avviene tramite extractor e pipeline processing rules, con una sintassi DSL dedicata.

Funzionalità

  • Stream — instradamento di messaggi in flussi logici, con regole di filtro
  • Pipeline — trasformazioni in sequenza (grok, parsing JSON, geoip, lookup tables)
  • Alerting — condizioni su stream, notifiche email/webhook/Slack/PagerDuty
  • Dashboard — widget configurabili per metriche e ricerche
  • Search workflow — query language ispirato a Lucene con scope temporale e stream

Licenza

La situazione di licenza è articolata:

  • Graylog Open — versione community sotto SSPL dal 2021 (in precedenza GPLv3)
  • Graylog Enterprise e Graylog Security — edizioni commerciali con funzionalità aggiuntive (archiving, audit log, report, correlation per SIEM)
  • Graylog Operations — offerta Operations per log management su larga scala

L’utilizzo di SSPL esclude Graylog Open dalle licenze approvate OSI, fatto da valutare in contesti che richiedono strettamente OSI-compliance.

SIEM e security analytics

L’edizione Graylog Security aggiunge:

  • Detection rules con mappatura MITRE ATT&CK
  • Asset e user behavior — baseline e anomaly detection
  • Incident investigation — workflow per analisti SOC
  • Sigma rules — importazione di regole community

Il core open mantiene pipeline, stream, alerting e dashboard, sufficienti per deployment SIEM-lite con integrazioni esterne.

Nel contesto italiano

Graylog è adottato da ISP, MSSP, PA e medie imprese come piattaforma di log centralizzato, spesso in combinazione con Wazuh o Suricata per l’arricchimento di eventi security. La curva di apprendimento contenuta e l’interfaccia web matura lo rendono una scelta frequente dove ELK è percepito come troppo complesso da gestire.

Riferimenti: Graylog 1.0 (19 febbraio 2015). Avviato da Lennart Koopmann ad Amburgo nel 2009. Sede Graylog, Inc.: Houston, Texas + Amburgo. Licenza Graylog Open: SSPL (dal 2021; in precedenza GPLv3). Backend Elasticsearch/OpenSearch + MongoDB. Sito: https://graylog.org

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi