Network & Security

Graylog คืออะไร? คู่มือ Open-Source Log Management ทดแทน Splunk สำหรับ SME ไทย 2026

Graylog คือ Open-Source Log Management Platform ที่รวบรวม วิเคราะห์ และแจ้งเตือน Log จากทั้งระบบในที่เดียว เปลี่ยน SME ไทยจากการเปิดไฟล์ Log แบบเดิมเป็น Dashboard เรียลไทม์ พร้อม Alert ช่วยลดเวลา MTTR และต้นทุน Splunk

AF
ADS FIT Team
·8 นาที
Share:
Graylog คืออะไร? คู่มือ Open-Source Log Management ทดแทน Splunk สำหรับ SME ไทย 2026

# Graylog คืออะไร? คู่มือ Open-Source Log Management ทดแทน Splunk สำหรับ SME ไทย 2026

ทุกธุรกิจที่มีระบบ IT ไม่ว่าจะใหญ่หรือเล็ก ล้วนผลิต Log มหาศาลในแต่ละวัน — Web Server, Firewall, Application, Database, Container ฯลฯ ปัญหาที่ทีม Network และ Security เจอเสมอคือ "พอมีเหตุการณ์ผิดปกติแล้ว ไม่รู้จะเริ่มไล่จากไฟล์ไหน" หรือ "Splunk แพงเกินไปสำหรับงบ SME แต่จะทำเองก็ใช้เวลา"

Graylog คือคำตอบ Open-Source ที่ทำให้ทุกองค์กรมี Log Management ระดับ Enterprise ได้โดยไม่ต้องจ่ายค่าไลเซนส์ระดับล้าน รวบรวม Log จากทุก Source ในที่เดียว, จัดทำดัชนีอัตโนมัติ, แจ้งเตือนเรียลไทม์ และมี Dashboard ที่สวยงาม ใช้งานได้ทั้งทีม IT, Security และ Compliance

ในคู่มือนี้คุณจะได้เรียนรู้ Graylog คืออะไร, วิธีติดตั้งใน 30 นาที, การวาง Pipeline เก็บ Log จาก Linux/Windows, การสร้าง Alert + Dashboard, เปรียบเทียบกับ ELK Stack, Loki และ Splunk พร้อม Best Practices สำหรับ Production ของ SME ไทย

Graylog คืออะไร และเหมาะกับใคร

Graylog เริ่มต้นในปี 2009 และพัฒนามาต่อเนื่อง ปัจจุบันมี 3 รุ่นหลัก:

  • **Graylog Open** (เดิมชื่อ Graylog Open Source) — ฟรี ใช้ได้ทุกขนาดองค์กร
  • **Graylog Operations** — Commercial เพิ่ม Reports, Audit Log, Archiving
  • **Graylog Security** — เน้น SIEM/Threat Detection พร้อม Anomaly Detection

    • สถาปัตยกรรมหลักประกอบด้วย Graylog Server, OpenSearch (หรือ Elasticsearch) สำหรับเก็บข้อมูล และ MongoDB สำหรับเก็บ Configuration ทำให้รองรับการ Scale แบบ Horizontal ได้ตั้งแต่ Server เดียวจนถึง Cluster หลายร้อย Node

    Graylog เหมาะกับ:

    | ทีม | ใช้ทำอะไร |

    |---|---|

    | Network/IT Ops | รวมศูนย์ Log จาก Switch, Router, Firewall เพื่อ Troubleshoot อย่างรวดเร็ว |

    | Security | ตรวจจับ Brute Force, Privilege Escalation, IOC Match |

    | DevOps | Centralize App Log จาก Container, Kubernetes, Serverless |

    | Compliance | เก็บ Audit Log ตาม PDPA, ISO 27001, PCI-DSS, SOC 2 |

    | Business | ติดตาม Error Rate, Conversion Drop ที่กระทบรายได้ |

    คุณสมบัติเด่นที่ทำให้ Graylog ชนะใจ SME

  • **Stream-based Routing** — แยก Log เป็น Stream ตามแหล่งที่มา/ความสำคัญ ก่อนเข้า Index แต่ละ Stream มี Permission แยก
  • **Pipeline Rules** — เขียน DSL คล้าย JavaScript ใช้ Parse, Enrich, Mask PII ก่อน Store
  • **Search Workflow** — Query Bar, Saved Search, Dashboard ใช้งานเหมือน Splunk SPL แต่ฟรี
  • **Alerts & Notifications** — แจ้งเตือนผ่าน Email, Slack, LINE, PagerDuty, Webhook
  • **Content Packs** — Template สำเร็จรูปสำหรับ Apache, Nginx, Mikrotik, Cisco ASA, AWS, Office 365
  • **Role-Based Access Control** — เหมาะกับองค์กรหลายแผนกที่ต้องแยกสิทธิ์ดู Log
  • **Open Format** — ใช้ GELF, Syslog, Beats, HTTP, AWS Kinesis, Kafka รับ Log ได้ทุกแบบ

    • วิธีติดตั้ง Graylog ใน 30 นาที (Docker Compose)

    วิธีง่ายที่สุดสำหรับ SME ที่อยากลองเร็วๆ คือใช้ Docker Compose บน Ubuntu/Debian Server (RAM ≥ 8 GB):

    Step 1: เตรียม docker-compose.yml

    ```yaml

    version: '3'

    services:

    mongo:

    image: mongo:6

    restart: always

    volumes:

  • mongo_data:/data/db

    • opensearch:

    image: opensearchproject/opensearch:2.15.0

    environment:

  • discovery.type=single-node
  • OPENSEARCH_JAVA_OPTS=-Xms2g -Xmx2g
  • DISABLE_SECURITY_PLUGIN=true

    • volumes:

  • os_data:/usr/share/opensearch/data

    • graylog:

    image: graylog/graylog:6.1

    environment:

    GRAYLOG_PASSWORD_SECRET: "ChangeMe16CharsMin"

    GRAYLOG_ROOT_PASSWORD_SHA2: "<sha256 of admin password>"

    GRAYLOG_HTTP_EXTERNAL_URI: "http://server-ip:9000/"

    GRAYLOG_ELASTICSEARCH_HOSTS: "http://opensearch:9200"

    GRAYLOG_MONGODB_URI: "mongodb://mongo:27017/graylog"

    ports:

  • "9000:9000" # Web UI
  • "12201:12201/udp" # GELF UDP
  • "1514:1514" # Syslog TCP

    • depends_on: [mongo, opensearch]

    volumes:

    mongo_data:

    os_data:

    ```

    Step 2: ตั้ง Admin Password Hash

    ```bash

    echo -n "yourStrongPassword" | sha256sum

    ```

    นำ Hash ที่ได้ใส่ใน `GRAYLOG_ROOT_PASSWORD_SHA2`

    Step 3: รัน Stack

    ```bash

    docker compose up -d

    ```

    รอ 1–2 นาที แล้วเปิด Browser ที่ `http://server-ip:9000` ล็อกอินด้วย admin/<password>

    Step 4: ส่ง Log ครั้งแรก

    ใน Linux Server ที่ต้องการเก็บ Log แก้ `/etc/rsyslog.conf` เพิ่มบรรทัด:

    ```

    *.* @@graylog-server-ip:1514

    ```

    แล้ว `systemctl restart rsyslog` Log จะวิ่งเข้า Graylog Stream "All Messages" ทันที

    Step 5: สร้าง Dashboard และ Alert

    จาก Web UI เข้า Dashboards → Create New → ลาก Widget เช่น Bar Chart ของ HTTP 5xx ตามเวลา หรือ Top 10 Source IP ที่ Login ผิด แล้วบันทึก กด Alerts → Event Definitions เพื่อตั้งเงื่อนไข เช่น "ssh failed login > 5 ครั้งใน 1 นาที" และผูก Notification

    Graylog vs ELK Stack vs Loki vs Splunk

    | ฟีเจอร์ | Graylog Open | ELK (OpenSearch) | Grafana Loki | Splunk Enterprise |

    |---|---|---|---|---|

    | License | SSPL/Server-side OSS | Apache 2.0 | AGPLv3 | Commercial |

    | ราคาเริ่มต้น | ฟรี | ฟรี | ฟรี | ~150,000 บาท/ปีต่อ GB/วัน |

    | Setup ง่ายแค่ไหน | ⭐⭐⭐⭐ Docker 30 นาที | ⭐⭐ Tune Index/Shard | ⭐⭐⭐ ใช้ Helm Chart | ⭐⭐⭐⭐⭐ Wizard |

    | Query Language | Lucene + Pipeline DSL | Lucene/KQL | LogQL | SPL (ทรงพลังที่สุด) |

    | Dashboard | Native + Grafana ก็ได้ | Kibana | Grafana | ในตัว |

    | Alert | ✅ ในตัว | ⚠️ ต้องใช้ Watcher/Elastalert | ✅ Grafana Alert | ✅ |

    | RBAC ละเอียด | ✅ Stream-based | ⚠️ ต้องใช้ Security Plugin | ⚠️ ต้องผูก Grafana | ✅ |

    | เหมาะกับ SME ไทย | ✅✅ คุ้มสุด | ✅ ทีมที่ Tune ได้ | ✅ ทีมที่ใช้ Grafana อยู่แล้ว | ❌ งบหลักล้านขึ้นไป |

    ถ้างบไม่ใหญ่และต้องการ "ทำงานได้เลย" Graylog เป็นจุดเริ่มต้นที่ดีที่สุด ELK ยืดหยุ่นแต่ต้อง Tune เยอะ Loki เหมาะกับทีม Cloud-Native ที่ใช้ Grafana อยู่แล้ว Splunk เหมาะกับองค์กรใหญ่ที่ต้องการฟีเจอร์ครบสุดและพร้อมจ่าย

    Best Practices สำหรับ Production ของ SME ไทย

  • **เริ่มจาก Sizing ที่ถูกต้อง** — คำนวณ Log Volume ต่อวัน × Retention เพื่อกำหนด Disk และ RAM ของ OpenSearch
  • **แยก Index Set ตาม Retention** — Hot Index (7 วัน) สำหรับ Search ด่วน, Warm/Cold Index (90+ วัน) สำหรับ Compliance
  • **ปกปิด PII ผ่าน Pipeline Rule** — ใช้ Mask หรือ Hash ข้อมูลส่วนบุคคลก่อน Index ตามข้อกำหนด PDPA
  • **เปิด TLS ทุก Input** — Syslog/GELF ที่วิ่งบน Public Internet ต้องเข้ารหัสเพื่อกัน Sniffing
  • **ผูก SSO/LDAP** — ลดความเสี่ยงการแชร์รหัสผ่าน admin
  • **Backup MongoDB + Snapshot OpenSearch** — สอง Component นี้คือหัวใจ ถ้าเสียคือสูญทุกอย่าง
  • **ทดสอบ Alert** — ใช้คำสั่ง `logger -p auth.warning "test failed login"` เพื่อยิง Log ปลอม ตรวจสอบ Notification ทำงาน
  • **Documentation** — ทำ Runbook ของแต่ละ Alert ว่าให้ใครทำอะไรเมื่อเกิด เพื่อ MTTR สั้น

    • สรุป + เริ่มใช้งานวันนี้

    Graylog เป็นทางลัดที่ทำให้ SME ไทยมี Log Management ระดับองค์กรใหญ่ ในงบประมาณที่ควบคุมได้ การลงทุนเวลา 1 สัปดาห์เพื่อตั้ง Pipeline และ Alert คุ้มค่ามาก เพราะช่วย:

  • ลด **MTTR** จากการ Troubleshoot ระบบล่ม
  • ตรวจจับ **Security Incident** ก่อนกลายเป็นเรื่องใหญ่
  • พิสูจน์ **Compliance** สำหรับ PDPA, ISO 27001, PCI-DSS
  • ประหยัด **Budget** เทียบกับ Splunk หลักล้านบาทต่อปี

    • ถ้าทีมของคุณต้องการคำปรึกษาเรื่องการวาง Log Architecture, Sizing, การผูก Graylog เข้ากับ SIEM อย่าง Wazuh หรือต้องการ Workshop สำหรับองค์กร [ติดต่อทีม ADS FIT](https://www.adsfit.co.th/#contact) ได้ทันที — เราช่วยออกแบบระบบ Observability และ Security Monitoring ที่ปลอดภัย ปรับขนาดได้ และคุ้มทุน อ่านบทความที่เกี่ยวข้อง: [Wazuh Open-Source SIEM](/blog/wazuh-open-source-siem-xdr-security-monitoring-guide-sme-thailand-2026) และ [NetFlow vs sFlow vs IPFIX](/blog/netflow-sflow-ipfix-network-traffic-analysis-monitoring-guide-sme-thailand-2026) เพื่อเสริมการมองเห็นระบบเครือข่ายของคุณให้รอบด้าน

    Tags

    #Graylog#Log Management#SIEM#Open Source#Splunk Alternative#Observability

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🌐

    GoAccess 2026: Real-Time Web Log Analyzer Open-Source สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    Multicast IP Networking 2026: คู่มือ IGMP PIM Routing สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    EMQX vs Mosquitto 2026: คู่มือเลือก MQTT Broker สำหรับระบบ IoT SME ไทย

    7 พฤษภาคม 2569 · 9 นาที