ELK搭建線上日志收集系統
ELK環境安裝
ELK是指Elasticsearch、Kibana、Logstash這三種服務搭建的日志收集系統,具體搭建方式可以參考《SpringBoot應用整合ELK實現日志收集》。這裡僅提供最新版本的docker-compose腳本和一些安裝要點。
docker-compose腳本
version: '3' services: elasticsearch: image: elasticsearch:6.4.0 container_name: elasticsearch environment: - "cluster.name=elasticsearch" #設置集群名稱為elasticsearch - "discovery.type=single-node" #以單一節點模式啟動 - "ES_JAVA_OPTS=-Xms512m -Xmx512m" #設置使用jvm內存大小 - TZ=Asia/Shanghai volumes: - /mydata/elasticsearch/plugins:/usr/share/elasticsearch/plugins #插件文件掛載 - /mydata/elasticsearch/data:/usr/share/elasticsearch/data #數據文件掛載 ports: - 9200:9200 - 9300:9300 kibana: image: kibana:6.4.0 container_name: kibana links: - elasticsearch:es #可以用es這個域名訪問elasticsearch服務 depends_on: - elasticsearch #kibana在elasticsearch啟動之後再啟動 environment: - "elasticsearch.hosts=http://es:9200" #設置訪問elasticsearch的地址 - TZ=Asia/Shanghai ports: - 5601:5601 logstash: image: logstash:6.4.0 container_name: logstash environment: - TZ=Asia/Shanghai volumes: - /mydata/logstash/logstash.conf:/usr/share/logstash/pipeline/logstash.conf #掛載logstash的配置文件 depends_on: - elasticsearch #kibana在elasticsearch啟動之後再啟動 links: - elasticsearch:es #可以用es這個域名訪問elasticsearch服務 ports: - 4560:4560 - 4561:4561 - 4562:4562 - 4563:4563
安裝要點
- 使用
docker-compose
命令運行所有服務:
docker-compose up -d
- 第一次啟動可能會發現Elasticsearch
無法啟動
,那是因為/usr/share/elasticsearch/data
目錄沒有訪問權限,隻需要修改/mydata/elasticsearch/data
目錄的權限,再重新啟動;
chmod 777 /mydata/elasticsearch/data/
- Logstash需要安裝
json_lines
插件。
logstash-plugin install logstash-codec-json_lines
分場景收集日志
這裡為瞭方便我們查看日志,提出一個分場景收集日志的概念,把日志分為以下四種。
- 調試日志:最全日志,包含瞭應用中所有
DEBUG
級別以上的日志,僅在開發、測試環境中開啟收集; - 錯誤日志:隻包含應用中所有
ERROR
級別的日志,所有環境隻都開啟收集; - 業務日志:在我們應用對應包下打印的日志,可用於查看我們自己在應用中打印的業務日志;
- 記錄日志:每個接口的訪問記錄,可以用來查看接口執行效率,獲取接口訪問參數。
Logback配置詳解
要實現上面的分場景收集日志,主要通過Logback的配置來實現,我們先來瞭解下Logback的配置吧!
完全配置
在SpringBoot中,如果我們想要自定義Logback的配置,需要自行編寫logback-spring.xml
文件,下面是我們這次要使用的完全配置。
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE configuration> <configuration> <!--引用默認日志配置--> <include resource="org/springframework/boot/logging/logback/defaults.xml"/> <!--使用默認的控制臺日志輸出實現--> <include resource="org/springframework/boot/logging/logback/console-appender.xml"/> <!--應用名稱--> <springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/> <!--日志文件保存路徑--> <property name="LOG_FILE_PATH" value="${LOG_FILE:-${LOG_PATH:-${LOG_TEMP:-${java.io.tmpdir:-/tmp}}}/logs}"/> <!--LogStash訪問host--> <springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/> <!--DEBUG日志輸出到文件--> <appender name="FILE_DEBUG" class="ch.qos.logback.core.rolling.RollingFileAppender"> <!--輸出DEBUG以上級別日志--> <filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>DEBUG</level> </filter> <encoder> <!--設置為默認的文件日志格式--> <pattern>${FILE_LOG_PATTERN}</pattern> <charset>UTF-8</charset> </encoder> <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy"> <!--設置文件命名格式--> <fileNamePattern>${LOG_FILE_PATH}/debug/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern> <!--設置日志文件大小,超過就重新生成文件,默認10M--> <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize> <!--日志文件保留天數,默認30天--> <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory> </rollingPolicy> </appender> <!--ERROR日志輸出到文件--> <appender name="FILE_ERROR" class="ch.qos.logback.core.rolling.RollingFileAppender"> <!--隻輸出ERROR級別的日志--> <filter class="ch.qos.logback.classic.filter.LevelFilter"> <level>ERROR</level> <onMatch>ACCEPT</onMatch> <onMismatch>DENY</onMismatch> </filter> <encoder> <!--設置為默認的文件日志格式--> <pattern>${FILE_LOG_PATTERN}</pattern> <charset>UTF-8</charset> </encoder> <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy"> <!--設置文件命名格式--> <fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern> <!--設置日志文件大小,超過就重新生成文件,默認10M--> <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize> <!--日志文件保留天數,默認30天--> <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory> </rollingPolicy> </appender> <!--DEBUG日志輸出到LogStash--> <appender name="LOG_STASH_DEBUG" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>DEBUG</level> </filter> <destination>${LOG_STASH_HOST}:4560</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定義日志輸出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "pid": "${PID:-}", "thread": "%thread", "class": "%logger", "message": "%message", "stack_trace": "%exception{20}" } </pattern> </pattern> </providers> </encoder> <!--當有多個LogStash服務時,設置訪問策略為輪詢--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender> <!--ERROR日志輸出到LogStash--> <appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <filter class="ch.qos.logback.classic.filter.LevelFilter"> <level>ERROR</level> <onMatch>ACCEPT</onMatch> <onMismatch>DENY</onMismatch> </filter> <destination>${LOG_STASH_HOST}:4561</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定義日志輸出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "pid": "${PID:-}", "thread": "%thread", "class": "%logger", "message": "%message", "stack_trace": "%exception{20}" } </pattern> </pattern> </providers> </encoder> <!--當有多個LogStash服務時,設置訪問策略為輪詢--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender> <!--業務日志輸出到LogStash--> <appender name="LOG_STASH_BUSINESS" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>${LOG_STASH_HOST}:4562</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定義日志輸出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "pid": "${PID:-}", "thread": "%thread", "class": "%logger", "message": "%message", "stack_trace": "%exception{20}" } </pattern> </pattern> </providers> </encoder> <!--當有多個LogStash服務時,設置訪問策略為輪詢--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender> <!--接口訪問記錄日志輸出到LogStash--> <appender name="LOG_STASH_RECORD" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>${LOG_STASH_HOST}:4563</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定義日志輸出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "class": "%logger", "message": "%message" } </pattern> </pattern> </providers> </encoder> <!--當有多個LogStash服務時,設置訪問策略為輪詢--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender> <!--控制框架輸出日志--> <logger name="org.slf4j" level="INFO"/> <logger name="springfox" level="INFO"/> <logger name="io.swagger" level="INFO"/> <logger name="org.springframework" level="INFO"/> <logger name="org.hibernate.validator" level="INFO"/> <root level="DEBUG"> <appender-ref ref="CONSOLE"/> <!--<appender-ref ref="FILE_DEBUG"/>--> <!--<appender-ref ref="FILE_ERROR"/>--> <appender-ref ref="LOG_STASH_DEBUG"/> <appender-ref ref="LOG_STASH_ERROR"/> </root> <logger name="com.macro.mall.tiny.component" level="DEBUG"> <appender-ref ref="LOG_STASH_RECORD"/> </logger> <logger name="com.macro.mall" level="DEBUG"> <appender-ref ref="LOG_STASH_BUSINESS"/> </logger> </configuration>
配置要點解析
使用默認的日志配置
一般我們不需要自定義控制臺輸出,可以采用默認配置,具體配置參考console-appender.xml
,該文件在spring-boot-${version}.jar
下面。
<!--引用默認日志配置--> <include resource="org/springframework/boot/logging/logback/defaults.xml"/> <!--使用默認的控制臺日志輸出實現--> <include resource="org/springframework/boot/logging/logback/console-appender.xml"/>
springProperty
該標簽可以從SpringBoot的配置文件中獲取配置屬性,比如說在不同環境下我們的Logstash服務地址是不一樣的,我們就可以把該地址定義在application.yml
來使用。
例如在application-dev.yml
中定義瞭這些屬性:
logstash: host: localhost
在logback-spring.xml
中就可以直接這樣使用:
<!--應用名稱--> <springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/> <!--LogStash訪問host--> <springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>
filter
在Logback中有兩種不同的過濾器,用來過濾日志輸出。
ThresholdFilter:臨界值過濾器,過濾掉低於指定臨界值的日志,比如下面的配置將過濾掉所有低於INFO級別的日志。
<filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>INFO</level> </filter>
LevelFilter:級別過濾器,根據日志級別進行過濾,比如下面的配置將過濾掉所有非ERROR級別的日志。
<filter class="ch.qos.logback.classic.filter.LevelFilter"> <level>ERROR</level> <onMatch>ACCEPT</onMatch> <onMismatch>DENY</onMismatch> </filter>
appender
Appender可以用來控制日志的輸出形式,主要有下面三種。
- ConsoleAppender:控制日志輸出到控制臺的形式,比如在
console-appender.xml
中定義的默認控制臺輸出。
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender"> <encoder> <pattern>${CONSOLE_LOG_PATTERN}</pattern> </encoder> </appender>
- RollingFileAppender:控制日志輸出到文件的形式,可以控制日志文件生成策略,比如文件名稱格式、超過多大重新生成文件以及刪除超過多少天的文件。
<!--ERROR日志輸出到文件--> <appender name="FILE_ERROR" class="ch.qos.logback.core.rolling.RollingFileAppender"> <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy"> <!--設置文件命名格式--> <fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern> <!--設置日志文件大小,超過就重新生成文件,默認10M--> <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize> <!--日志文件保留天數,默認30天--> <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory> </rollingPolicy> </appender>
- LogstashTcpSocketAppender:控制日志輸出到Logstash的形式,可以用來配置Logstash的地址、訪問策略以及日志的格式。
<!--ERROR日志輸出到LogStash--> <appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>${LOG_STASH_HOST}:4561</destination> <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"> <providers> <timestamp> <timeZone>Asia/Shanghai</timeZone> </timestamp> <!--自定義日志輸出格式--> <pattern> <pattern> { "project": "mall-tiny", "level": "%level", "service": "${APP_NAME:-}", "pid": "${PID:-}", "thread": "%thread", "class": "%logger", "message": "%message", "stack_trace": "%exception{20}" } </pattern> </pattern> </providers> </encoder> <!--當有多個LogStash服務時,設置訪問策略為輪詢--> <connectionStrategy> <roundRobin> <connectionTTL>5 minutes</connectionTTL> </roundRobin> </connectionStrategy> </appender>
logger
隻有配置到logger節點上的appender才會被使用,logger用於配置哪種條件下的日志被打印,root是一種特殊的appender,下面介紹下日志劃分的條件。
- 調試日志:所有的DEBUG級別以上日志;
- 錯誤日志:所有的ERROR級別日志;
- 業務日志:
com.macro.mall
包下的所有DEBUG級別以上日志; - 記錄日志:
com.macro.mall.tiny.component.WebLogAspect
類下所有DEBUG級別以上日志,該類是統計接口訪問信息的AOP切面類。
控制框架輸出日志
還有一些使用框架內部的日志,DEBUG級別的日志對我們並沒有啥用處,都可以設置為瞭INFO以上級別。
<!--控制框架輸出日志--> <logger name="org.slf4j" level="INFO"/> <logger name="springfox" level="INFO"/> <logger name="io.swagger" level="INFO"/> <logger name="org.springframework" level="INFO"/> <logger name="org.hibernate.validator" level="INFO"/>
Logstash配置詳解
接下來我們需要配置下Logstash,讓它可以分場景收集不同的日志,下面詳細介紹下使用到的配置。
完全配置
input { tcp { mode => "server" host => "0.0.0.0" port => 4560 codec => json_lines type => "debug" } tcp { mode => "server" host => "0.0.0.0" port => 4561 codec => json_lines type => "error" } tcp { mode => "server" host => "0.0.0.0" port => 4562 codec => json_lines type => "business" } tcp { mode => "server" host => "0.0.0.0" port => 4563 codec => json_lines type => "record" } } filter{ if [type] == "record" { mutate { remove_field => "port" remove_field => "host" remove_field => "@version" } json { source => "message" remove_field => ["message"] } } } output { elasticsearch { hosts => ["es:9200"] action => "index" codec => json index => "mall-tiny-%{type}-%{+YYYY.MM.dd}" template_name => "mall-tiny" } }
配置要點
- input:使用不同端口收集不同類型的日志,從4560~4563開啟四個端口;
- filter:對於記錄類型的日志,直接將JSON格式的message轉化到source中去,便於搜索查看;
- output:按類型、時間自定義索引格式。
SpringBoot配置
在SpringBoot中的配置可以直接用來覆蓋Logback中的配置,比如logging.level.root
就可以覆蓋<root>
節點中的level
配置。
- 開發環境配置:application-dev.yml
logstash: host: localhost logging: level: root: debug
- 測試環境配置:application-test.yml
logstash: host: 192.168.3.101 logging: level: root: debug
- 生產環境配置:application-prod.yml
logstash: host: logstash-prod logging: level: root: info
Kibana進階使用
進過上面ELK環境的搭建和配置以後,我們的日志收集系統終於可以用起來瞭,下面介紹下在Kibana中的使用技巧!
- 首先啟動我們的測試Demo,然後通用調用接口(可以使用Swagger),產生一些日志信息;
- 調用完成後在
Management->Kibana->Index Patterns
中可以創建Index Patterns
,Kibana服務訪問地址:http://192.168.3.101:5601
- 創建完成後可以在
Discover
中查看所有日志,調試日志隻需直接查看mall-tiny-debug*
模式的日志即可;
- 對於日志搜索,kibana有非常強大的提示功能,可以通過搜索欄右側的
Options
按鈕打開;
- 記錄日志隻需直接查看
mall-tiny-record*
模式的日志即可,如果我們想要搜索uri為/brand/listAll
的記錄日志,隻需在搜索欄中輸入uri : "/brand/listAll"
;
- 錯誤日志,隻需直接查看
mall-tiny-error*
模式的日志即可;
- 業務日志,隻需直接查看
mall-tiny-business*
模式的日志即可,這裡我們可以查看一些SQL日志的輸出;
- 如果日志太大瞭,可以通過
Elasticsearch->Index Management
選擇刪除即可。
項目源碼地址:
https://github.com/macrozheng/mall-learning/tree/master/mall-tiny-log
SpringBoot實戰電商項目mall(35k+star)地址:
https://github.com/macrozheng/mall
以上就是ELK搭建線上日志收集系統的詳細內容,更多關於ELK搭建日志收集系統的資料請關註WalkonNet其它相關文章!
推薦閱讀:
- 一文秒懂logstash收集springboot日志的方法
- 使用Logback設置日志級別
- Springboot內外部logback多環境配置詳解
- Spring Boot console log 格式自定義方式
- SpringBoot項目讀取外置logback配置文件的問題及解決