ELK搭建線上日志收集系統
ELK環境安裝
ELK是指Elasticsearch、Kibana、Logstash這三種服務搭建的日志收集系統,具體搭建方式可以參考《SpringBoot應用整合ELK實現日志收集》。這裡僅提供最新版本的docker-compose腳本和一些安裝要點。
docker-compose腳本
version: '3'
services:
elasticsearch:
image: elasticsearch:6.4.0
container_name: elasticsearch
environment:
- "cluster.name=elasticsearch" #設置集群名稱為elasticsearch
- "discovery.type=single-node" #以單一節點模式啟動
- "ES_JAVA_OPTS=-Xms512m -Xmx512m" #設置使用jvm內存大小
- TZ=Asia/Shanghai
volumes:
- /mydata/elasticsearch/plugins:/usr/share/elasticsearch/plugins #插件文件掛載
- /mydata/elasticsearch/data:/usr/share/elasticsearch/data #數據文件掛載
ports:
- 9200:9200
- 9300:9300
kibana:
image: kibana:6.4.0
container_name: kibana
links:
- elasticsearch:es #可以用es這個域名訪問elasticsearch服務
depends_on:
- elasticsearch #kibana在elasticsearch啟動之後再啟動
environment:
- "elasticsearch.hosts=http://es:9200" #設置訪問elasticsearch的地址
- TZ=Asia/Shanghai
ports:
- 5601:5601
logstash:
image: logstash:6.4.0
container_name: logstash
environment:
- TZ=Asia/Shanghai
volumes:
- /mydata/logstash/logstash.conf:/usr/share/logstash/pipeline/logstash.conf #掛載logstash的配置文件
depends_on:
- elasticsearch #kibana在elasticsearch啟動之後再啟動
links:
- elasticsearch:es #可以用es這個域名訪問elasticsearch服務
ports:
- 4560:4560
- 4561:4561
- 4562:4562
- 4563:4563
安裝要點
- 使用
docker-compose命令運行所有服務:
docker-compose up -d
- 第一次啟動可能會發現Elasticsearch
無法啟動,那是因為/usr/share/elasticsearch/data目錄沒有訪問權限,隻需要修改/mydata/elasticsearch/data目錄的權限,再重新啟動;
chmod 777 /mydata/elasticsearch/data/
- Logstash需要安裝
json_lines插件。
logstash-plugin install logstash-codec-json_lines
分場景收集日志
這裡為瞭方便我們查看日志,提出一個分場景收集日志的概念,把日志分為以下四種。
- 調試日志:最全日志,包含瞭應用中所有
DEBUG級別以上的日志,僅在開發、測試環境中開啟收集; - 錯誤日志:隻包含應用中所有
ERROR級別的日志,所有環境隻都開啟收集; - 業務日志:在我們應用對應包下打印的日志,可用於查看我們自己在應用中打印的業務日志;
- 記錄日志:每個接口的訪問記錄,可以用來查看接口執行效率,獲取接口訪問參數。
Logback配置詳解
要實現上面的分場景收集日志,主要通過Logback的配置來實現,我們先來瞭解下Logback的配置吧!
完全配置
在SpringBoot中,如果我們想要自定義Logback的配置,需要自行編寫logback-spring.xml文件,下面是我們這次要使用的完全配置。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE configuration>
<configuration>
<!--引用默認日志配置-->
<include resource="org/springframework/boot/logging/logback/defaults.xml"/>
<!--使用默認的控制臺日志輸出實現-->
<include resource="org/springframework/boot/logging/logback/console-appender.xml"/>
<!--應用名稱-->
<springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/>
<!--日志文件保存路徑-->
<property name="LOG_FILE_PATH" value="${LOG_FILE:-${LOG_PATH:-${LOG_TEMP:-${java.io.tmpdir:-/tmp}}}/logs}"/>
<!--LogStash訪問host-->
<springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>
<!--DEBUG日志輸出到文件-->
<appender name="FILE_DEBUG"
class="ch.qos.logback.core.rolling.RollingFileAppender">
<!--輸出DEBUG以上級別日志-->
<filter class="ch.qos.logback.classic.filter.ThresholdFilter">
<level>DEBUG</level>
</filter>
<encoder>
<!--設置為默認的文件日志格式-->
<pattern>${FILE_LOG_PATTERN}</pattern>
<charset>UTF-8</charset>
</encoder>
<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
<!--設置文件命名格式-->
<fileNamePattern>${LOG_FILE_PATH}/debug/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
<!--設置日志文件大小,超過就重新生成文件,默認10M-->
<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
<!--日志文件保留天數,默認30天-->
<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
</rollingPolicy>
</appender>
<!--ERROR日志輸出到文件-->
<appender name="FILE_ERROR"
class="ch.qos.logback.core.rolling.RollingFileAppender">
<!--隻輸出ERROR級別的日志-->
<filter class="ch.qos.logback.classic.filter.LevelFilter">
<level>ERROR</level>
<onMatch>ACCEPT</onMatch>
<onMismatch>DENY</onMismatch>
</filter>
<encoder>
<!--設置為默認的文件日志格式-->
<pattern>${FILE_LOG_PATTERN}</pattern>
<charset>UTF-8</charset>
</encoder>
<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
<!--設置文件命名格式-->
<fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
<!--設置日志文件大小,超過就重新生成文件,默認10M-->
<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
<!--日志文件保留天數,默認30天-->
<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
</rollingPolicy>
</appender>
<!--DEBUG日志輸出到LogStash-->
<appender name="LOG_STASH_DEBUG" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<filter class="ch.qos.logback.classic.filter.ThresholdFilter">
<level>DEBUG</level>
</filter>
<destination>${LOG_STASH_HOST}:4560</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日志輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"pid": "${PID:-}",
"thread": "%thread",
"class": "%logger",
"message": "%message",
"stack_trace": "%exception{20}"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略為輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
<!--ERROR日志輸出到LogStash-->
<appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<filter class="ch.qos.logback.classic.filter.LevelFilter">
<level>ERROR</level>
<onMatch>ACCEPT</onMatch>
<onMismatch>DENY</onMismatch>
</filter>
<destination>${LOG_STASH_HOST}:4561</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日志輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"pid": "${PID:-}",
"thread": "%thread",
"class": "%logger",
"message": "%message",
"stack_trace": "%exception{20}"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略為輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
<!--業務日志輸出到LogStash-->
<appender name="LOG_STASH_BUSINESS" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<destination>${LOG_STASH_HOST}:4562</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日志輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"pid": "${PID:-}",
"thread": "%thread",
"class": "%logger",
"message": "%message",
"stack_trace": "%exception{20}"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略為輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
<!--接口訪問記錄日志輸出到LogStash-->
<appender name="LOG_STASH_RECORD" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<destination>${LOG_STASH_HOST}:4563</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日志輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"class": "%logger",
"message": "%message"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略為輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
<!--控制框架輸出日志-->
<logger name="org.slf4j" level="INFO"/>
<logger name="springfox" level="INFO"/>
<logger name="io.swagger" level="INFO"/>
<logger name="org.springframework" level="INFO"/>
<logger name="org.hibernate.validator" level="INFO"/>
<root level="DEBUG">
<appender-ref ref="CONSOLE"/>
<!--<appender-ref ref="FILE_DEBUG"/>-->
<!--<appender-ref ref="FILE_ERROR"/>-->
<appender-ref ref="LOG_STASH_DEBUG"/>
<appender-ref ref="LOG_STASH_ERROR"/>
</root>
<logger name="com.macro.mall.tiny.component" level="DEBUG">
<appender-ref ref="LOG_STASH_RECORD"/>
</logger>
<logger name="com.macro.mall" level="DEBUG">
<appender-ref ref="LOG_STASH_BUSINESS"/>
</logger>
</configuration>
配置要點解析
使用默認的日志配置
一般我們不需要自定義控制臺輸出,可以采用默認配置,具體配置參考console-appender.xml,該文件在spring-boot-${version}.jar下面。
<!--引用默認日志配置--> <include resource="org/springframework/boot/logging/logback/defaults.xml"/> <!--使用默認的控制臺日志輸出實現--> <include resource="org/springframework/boot/logging/logback/console-appender.xml"/>
springProperty
該標簽可以從SpringBoot的配置文件中獲取配置屬性,比如說在不同環境下我們的Logstash服務地址是不一樣的,我們就可以把該地址定義在application.yml來使用。
例如在application-dev.yml中定義瞭這些屬性:
logstash: host: localhost
在logback-spring.xml中就可以直接這樣使用:
<!--應用名稱--> <springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/> <!--LogStash訪問host--> <springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>
filter
在Logback中有兩種不同的過濾器,用來過濾日志輸出。
ThresholdFilter:臨界值過濾器,過濾掉低於指定臨界值的日志,比如下面的配置將過濾掉所有低於INFO級別的日志。
<filter class="ch.qos.logback.classic.filter.ThresholdFilter">
<level>INFO</level>
</filter>
LevelFilter:級別過濾器,根據日志級別進行過濾,比如下面的配置將過濾掉所有非ERROR級別的日志。
<filter class="ch.qos.logback.classic.filter.LevelFilter">
<level>ERROR</level>
<onMatch>ACCEPT</onMatch>
<onMismatch>DENY</onMismatch>
</filter>
appender
Appender可以用來控制日志的輸出形式,主要有下面三種。
- ConsoleAppender:控制日志輸出到控制臺的形式,比如在
console-appender.xml中定義的默認控制臺輸出。
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>${CONSOLE_LOG_PATTERN}</pattern>
</encoder>
</appender>
- RollingFileAppender:控制日志輸出到文件的形式,可以控制日志文件生成策略,比如文件名稱格式、超過多大重新生成文件以及刪除超過多少天的文件。
<!--ERROR日志輸出到文件-->
<appender name="FILE_ERROR"
class="ch.qos.logback.core.rolling.RollingFileAppender">
<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
<!--設置文件命名格式-->
<fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
<!--設置日志文件大小,超過就重新生成文件,默認10M-->
<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
<!--日志文件保留天數,默認30天-->
<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
</rollingPolicy>
</appender>
- LogstashTcpSocketAppender:控制日志輸出到Logstash的形式,可以用來配置Logstash的地址、訪問策略以及日志的格式。
<!--ERROR日志輸出到LogStash-->
<appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<destination>${LOG_STASH_HOST}:4561</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日志輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"pid": "${PID:-}",
"thread": "%thread",
"class": "%logger",
"message": "%message",
"stack_trace": "%exception{20}"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略為輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
logger
隻有配置到logger節點上的appender才會被使用,logger用於配置哪種條件下的日志被打印,root是一種特殊的appender,下面介紹下日志劃分的條件。
- 調試日志:所有的DEBUG級別以上日志;
- 錯誤日志:所有的ERROR級別日志;
- 業務日志:
com.macro.mall包下的所有DEBUG級別以上日志; - 記錄日志:
com.macro.mall.tiny.component.WebLogAspect類下所有DEBUG級別以上日志,該類是統計接口訪問信息的AOP切面類。
控制框架輸出日志
還有一些使用框架內部的日志,DEBUG級別的日志對我們並沒有啥用處,都可以設置為瞭INFO以上級別。
<!--控制框架輸出日志--> <logger name="org.slf4j" level="INFO"/> <logger name="springfox" level="INFO"/> <logger name="io.swagger" level="INFO"/> <logger name="org.springframework" level="INFO"/> <logger name="org.hibernate.validator" level="INFO"/>
Logstash配置詳解
接下來我們需要配置下Logstash,讓它可以分場景收集不同的日志,下面詳細介紹下使用到的配置。
完全配置
input {
tcp {
mode => "server"
host => "0.0.0.0"
port => 4560
codec => json_lines
type => "debug"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4561
codec => json_lines
type => "error"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4562
codec => json_lines
type => "business"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4563
codec => json_lines
type => "record"
}
}
filter{
if [type] == "record" {
mutate {
remove_field => "port"
remove_field => "host"
remove_field => "@version"
}
json {
source => "message"
remove_field => ["message"]
}
}
}
output {
elasticsearch {
hosts => ["es:9200"]
action => "index"
codec => json
index => "mall-tiny-%{type}-%{+YYYY.MM.dd}"
template_name => "mall-tiny"
}
}
配置要點
- input:使用不同端口收集不同類型的日志,從4560~4563開啟四個端口;
- filter:對於記錄類型的日志,直接將JSON格式的message轉化到source中去,便於搜索查看;
- output:按類型、時間自定義索引格式。
SpringBoot配置
在SpringBoot中的配置可以直接用來覆蓋Logback中的配置,比如logging.level.root就可以覆蓋<root>節點中的level配置。
- 開發環境配置:application-dev.yml
logstash:
host: localhost
logging:
level:
root: debug
- 測試環境配置:application-test.yml
logstash:
host: 192.168.3.101
logging:
level:
root: debug
- 生產環境配置:application-prod.yml
logstash:
host: logstash-prod
logging:
level:
root: info
Kibana進階使用
進過上面ELK環境的搭建和配置以後,我們的日志收集系統終於可以用起來瞭,下面介紹下在Kibana中的使用技巧!
- 首先啟動我們的測試Demo,然後通用調用接口(可以使用Swagger),產生一些日志信息;
- 調用完成後在
Management->Kibana->Index Patterns中可以創建Index Patterns,Kibana服務訪問地址:http://192.168.3.101:5601
- 創建完成後可以在
Discover中查看所有日志,調試日志隻需直接查看mall-tiny-debug*模式的日志即可;
- 對於日志搜索,kibana有非常強大的提示功能,可以通過搜索欄右側的
Options按鈕打開;
- 記錄日志隻需直接查看
mall-tiny-record*模式的日志即可,如果我們想要搜索uri為/brand/listAll的記錄日志,隻需在搜索欄中輸入uri : "/brand/listAll";
- 錯誤日志,隻需直接查看
mall-tiny-error*模式的日志即可;
- 業務日志,隻需直接查看
mall-tiny-business*模式的日志即可,這裡我們可以查看一些SQL日志的輸出;
- 如果日志太大瞭,可以通過
Elasticsearch->Index Management選擇刪除即可。
項目源碼地址:
https://github.com/macrozheng/mall-learning/tree/master/mall-tiny-log
SpringBoot實戰電商項目mall(35k+star)地址:
https://github.com/macrozheng/mall
以上就是ELK搭建線上日志收集系統的詳細內容,更多關於ELK搭建日志收集系統的資料請關註WalkonNet其它相關文章!
推薦閱讀:
- 一文秒懂logstash收集springboot日志的方法
- 使用Logback設置日志級別
- Springboot內外部logback多環境配置詳解
- Spring Boot console log 格式自定義方式
- SpringBoot項目讀取外置logback配置文件的問題及解決