前面基礎(chǔ)工作準(zhǔn)備完了，現(xiàn)在正式開始進(jìn)行Graylog本身的安裝配置。

1.進(jìn)行初始化

sudo graylog-ctl reconfigure 

需要說明的是系統(tǒng)的admin用戶的密碼和相關(guān)配置是不能直接修改的，需要使用命令或者修改配置文件來修改。

sudo graylog-ctl set-admin-password <password>  
sudo graylog-ctl set-timezone <zone acronym>
sudo graylog-ctl reconfigure 

或者修改配置文件/opt/graylog/graylog.conf
初始化完畢或者重啟動(dòng)需要一小段時(shí)間，打開頁面如果顯示正在restarting不要著急，稍等兩分鐘就好了。

2. syslog配置

Graylog本身支持多種采集方式，現(xiàn)在我們先使用syslog的方式進(jìn)行配置。

- 客戶端配置

根據(jù)客戶端操作系統(tǒng)不同，默認(rèn)使用rsyslog或者syslog-ng，配置都必將常見。
rsyslog：UDP
*.* @GraylogIP:5140;RSYSLOG_SyslogProtocol23Format
rsyslog：TCP
*.* @GraylogIP:5140;RSYSLOG_SyslogProtocol23Format
syslog-ng比較麻煩，需要先分別指定SOURCES 、FILTERS 和DESTINATIONS，再組起來。
log { source S1; source S2; ... filter F1; filter F2; ... destinationD1; destination D2; ... }
這里有一篇文章，講的比較清楚，我就不贅述了。
syslog-ng內(nèi)容講解
也可以看下官方文檔Sending syslog from Linux systems into Graylog
在配置syslog時(shí)有兩點(diǎn)要注意，一是不要指定514端口，因?yàn)樘摂M機(jī)本身已經(jīng)使用了514端口，再指定這個(gè)端口可能會(huì)沖突；二是采用是盡量采用TCP協(xié)議吧。

- Inputs設(shè)置

這里設(shè)置也比較簡(jiǎn)單，輸入IP地址訪問頁面，用戶名admin密碼默認(rèn)admin，進(jìn)去后選擇菜單System——>Inputs——>下拉選擇Syslog TCP——>Launch new input然后最簡(jiǎn)單的只需選擇Node（當(dāng)然現(xiàn)在只有一個(gè)供你選擇了）、填寫Title和Port就可以了。Port要填寫前面客戶端配置的端口。
到這里我就算搭建了最簡(jiǎn)單的一個(gè)Graylog日志服務(wù)器了，現(xiàn)在你就可以開始慢慢的看你的日志了。至于具體的運(yùn)用，咱們?cè)俾剿鳌?/p>