Три варианта для любого масштаба — от лёгкого Loki до enterprise Graylog с Data Lake и MITRE ATT&CK.
«Логи без централизации — это шум. Логи в Graylog, ELK или Loki — это аналитика, расследования и соответствие требованиям регуляторов.»
Централизованное логирование — обязательный элемент любой production-инфраструктуры. В стеке IgNix предлагается три варианта в зависимости от требований: Loki — для сред, где приоритет стоимость хранения; Graylog — когда нужна расследовательская мощность и MITRE ATT&CK корреляция; ELK (Elasticsearch+Logstash+Kibana) — для полнотекстового поиска и компании с существующей Elastic-экспертизой.
Graylog 7.0 — enterprise-платформа с Data Lake на базе S3 без дополнительной платы: холодные логи переносятся в объектное хранилище автоматически, поиск работает и по горячим, и по холодным данным. Adversary Informed Defense интегрирует MITRE ATT&CK прямо в интерфейс расследования: алерт мгновенно показывает технику, тактику и рекомендованные меры. Pipeline processing обрабатывает потоки логов в реальном времени: парсинг, обогащение, роутинг, маскирование персональных данных.
ELK Stack 9.3 использует Lucene для полнотекстового поиска и Vector Search BBQ для поиска по семантической близости — это основа для AI-assisted расследований. ES|QL с LOOKUP JOIN — новый декларативный язык запросов к индексам Elasticsearch, значительно проще SPL Splunk. Loki 3.7 хранит только метки (labels) в индексе, а текст логов — в сжатых чанках: стоимость хранения в 5–10 раз ниже ELK при интеграции с Grafana через LogQL.
Килл-фичи:
Graylog Data Lake (S3 free) — тиринг холодных логов в S3 без доплаты, поиск по всей истории
MITRE ATT&CK в Graylog — корреляция логов с техниками ATT&CK прямо в UI расследования
ELK Vector Search BBQ — семантический поиск по логам, AI-assisted расследование аномалий
ES|QL + LOOKUP JOIN — новый язык запросов Elasticsearch: join разных индексов как в SQL
Loki label-based (5–10× дешевле) — минимальный индекс, LogQL для запросов, нативная Grafana интеграция
Loki S3 primary storage — объектное хранилище как основное, не архив: нет дорогого локального диска
Graylog Sidecar — централизованное управление конфигурацией Beats/NXLog агентов на хостах
Что заменяет: Splunk, IBM QRadar (частично), Sumo Logic, Datadog Logs, платные SIEM-системы
Версии: Graylog 7.0.6 / ELK Stack 9.3 / Loki 3.7.0
Роль в стеке: Слой 6 — Наблюдаемость / Централизованное логирование