收集和分析日志是應(yīng)用開發(fā)中至關(guān)重要的一環(huán),互聯(lián)網(wǎng)大規(guī)模、分布式的特性決定了日志的源頭越來(lái)越分散,

產(chǎn)生的速度越來(lái)越快,傳統(tǒng)的手段和工具顯得日益力不從心。在規(guī)?;瘓?chǎng)景下,grep、awk 無(wú)法快速發(fā)揮作用,我們需要一種高效、靈活的日志分析方式,可以給故障處理,問題定位提供更好的支持?;谌乃阉饕?Lucene 構(gòu)建的 ELKstack 平臺(tái),是目前比較流行的日志收集方解決方案。

ELK系統(tǒng)的部署按照官方文檔操作即可,相關(guān)資料也很多,這篇文章更多的關(guān)注三個(gè)組件的設(shè)計(jì)和實(shí)現(xiàn),幫助大家了解這個(gè)流行的日志收集系統(tǒng),

 

ELK統(tǒng)一日志系統(tǒng)

結(jié)合Logstash,ElasticSearch和Kibana三個(gè)組件,可以搭建一套高效的日志收集和分析系統(tǒng)。

ELK日志系統(tǒng)數(shù)據(jù)流圖

ELK stack支持組件間的靈活組合,提供強(qiáng)大的開箱即用的日志收集和檢索功能。

seo優(yōu)化培訓(xùn),網(wǎng)絡(luò)推廣培訓(xùn),網(wǎng)絡(luò)營(yíng)銷培訓(xùn),SEM培訓(xùn),網(wǎng)絡(luò)優(yōu)化,在線營(yíng)銷培訓(xùn)

可以看到ELK系統(tǒng)進(jìn)行日志收集的過(guò)程可以分為三個(gè)環(huán)節(jié):

  • 日志收集和導(dǎo)入ElasticSearch

  • ElasticSearch進(jìn)行索引等處理

  • 可視化操作,查詢等

Logstash可以結(jié)合Redis或者kafka等收集應(yīng)用服務(wù)器產(chǎn)生的日志,經(jīng)過(guò)簡(jiǎn)單的過(guò)濾等操作后發(fā)送到ElasticSearch,ElasticSearch進(jìn)行相關(guān)的索引處理,最后在Kibana進(jìn)行相關(guān)的可視化操作。

 

Logstash進(jìn)行日志采集

Logstash 是一種功能強(qiáng)大的信息采集工具,類似于同樣用于日志收集的 Flume。

Logstash通過(guò)配置文件規(guī)定 Logstash 如何處理各種類型的事件流,一般包含 input、filter、output 三個(gè)部分。

Logstash 為各個(gè)部分提供相應(yīng)的插件,通過(guò) input、filter、output 三類插件完成各種處理和轉(zhuǎn)換,

另外 codec 類的插件可以放在 input 和 output 部分通過(guò)簡(jiǎn)單編碼來(lái)簡(jiǎn)化處理過(guò)程。

1.Logstash架構(gòu)

Logstash使用Jruby語(yǔ)言編寫,對(duì)于使用者來(lái)講,Logstash本身是基于命令行界面,面向任務(wù)處理的。

Logstash的軟件架構(gòu)是一種帶有“