ELK搭建線上日志收集系統

ELK環境安裝

ELK是指Elasticsearch、Kibana、Logstash這三種服務搭建的日志收集系統,具體搭建方式可以參考《SpringBoot應用整合ELK實現日志收集》。這裡僅提供最新版本的docker-compose腳本和一些安裝要點。

docker-compose腳本

version: '3'
services:
  elasticsearch:
    image: elasticsearch:6.4.0
    container_name: elasticsearch
    environment:
      - "cluster.name=elasticsearch" #設置集群名稱為elasticsearch
      - "discovery.type=single-node" #以單一節點模式啟動
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m" #設置使用jvm內存大小
      - TZ=Asia/Shanghai
    volumes:
      - /mydata/elasticsearch/plugins:/usr/share/elasticsearch/plugins #插件文件掛載
      - /mydata/elasticsearch/data:/usr/share/elasticsearch/data #數據文件掛載
    ports:
      - 9200:9200
      - 9300:9300
  kibana:
    image: kibana:6.4.0
    container_name: kibana
    links:
      - elasticsearch:es #可以用es這個域名訪問elasticsearch服務
    depends_on:
      - elasticsearch #kibana在elasticsearch啟動之後再啟動
    environment:
      - "elasticsearch.hosts=http://es:9200" #設置訪問elasticsearch的地址
      - TZ=Asia/Shanghai
    ports:
      - 5601:5601
  logstash:
    image: logstash:6.4.0
    container_name: logstash
    environment:
      - TZ=Asia/Shanghai
    volumes:
      - /mydata/logstash/logstash.conf:/usr/share/logstash/pipeline/logstash.conf #掛載logstash的配置文件
    depends_on:
      - elasticsearch #kibana在elasticsearch啟動之後再啟動
    links:
      - elasticsearch:es #可以用es這個域名訪問elasticsearch服務
    ports:
      - 4560:4560
      - 4561:4561
      - 4562:4562
      - 4563:4563

安裝要點

  • 使用docker-compose命令運行所有服務:
docker-compose up -d
  • 第一次啟動可能會發現Elasticsearch無法啟動,那是因為/usr/share/elasticsearch/data目錄沒有訪問權限,隻需要修改/mydata/elasticsearch/data目錄的權限,再重新啟動;
chmod 777 /mydata/elasticsearch/data/
  • Logstash需要安裝json_lines插件。
logstash-plugin install logstash-codec-json_lines

分場景收集日志

這裡為瞭方便我們查看日志,提出一個分場景收集日志的概念,把日志分為以下四種。

  • 調試日志:最全日志,包含瞭應用中所有DEBUG級別以上的日志,僅在開發、測試環境中開啟收集;
  • 錯誤日志:隻包含應用中所有ERROR級別的日志,所有環境隻都開啟收集;
  • 業務日志:在我們應用對應包下打印的日志,可用於查看我們自己在應用中打印的業務日志;
  • 記錄日志:每個接口的訪問記錄,可以用來查看接口執行效率,獲取接口訪問參數。

Logback配置詳解

要實現上面的分場景收集日志,主要通過Logback的配置來實現,我們先來瞭解下Logback的配置吧!

完全配置

在SpringBoot中,如果我們想要自定義Logback的配置,需要自行編寫logback-spring.xml文件,下面是我們這次要使用的完全配置。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE configuration>
<configuration>
    <!--引用默認日志配置-->
    <include resource="org/springframework/boot/logging/logback/defaults.xml"/>
    <!--使用默認的控制臺日志輸出實現-->
    <include resource="org/springframework/boot/logging/logback/console-appender.xml"/>
    <!--應用名稱-->
    <springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/>
    <!--日志文件保存路徑-->
    <property name="LOG_FILE_PATH" value="${LOG_FILE:-${LOG_PATH:-${LOG_TEMP:-${java.io.tmpdir:-/tmp}}}/logs}"/>
    <!--LogStash訪問host-->
    <springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>
    <!--DEBUG日志輸出到文件-->
    <appender name="FILE_DEBUG"
              class="ch.qos.logback.core.rolling.RollingFileAppender">
        <!--輸出DEBUG以上級別日志-->
        <filter class="ch.qos.logback.classic.filter.ThresholdFilter">
            <level>DEBUG</level>
        </filter>
        <encoder>
            <!--設置為默認的文件日志格式-->
            <pattern>${FILE_LOG_PATTERN}</pattern>
            <charset>UTF-8</charset>
        </encoder>
        <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
            <!--設置文件命名格式-->
            <fileNamePattern>${LOG_FILE_PATH}/debug/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
            <!--設置日志文件大小,超過就重新生成文件,默認10M-->
            <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
            <!--日志文件保留天數,默認30天-->
            <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
        </rollingPolicy>
    </appender>
    <!--ERROR日志輸出到文件-->
    <appender name="FILE_ERROR"
              class="ch.qos.logback.core.rolling.RollingFileAppender">
        <!--隻輸出ERROR級別的日志-->
        <filter class="ch.qos.logback.classic.filter.LevelFilter">
            <level>ERROR</level>
            <onMatch>ACCEPT</onMatch>
            <onMismatch>DENY</onMismatch>
        </filter>
        <encoder>
            <!--設置為默認的文件日志格式-->
            <pattern>${FILE_LOG_PATTERN}</pattern>
            <charset>UTF-8</charset>
        </encoder>
        <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
            <!--設置文件命名格式-->
            <fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
            <!--設置日志文件大小,超過就重新生成文件,默認10M-->
            <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
            <!--日志文件保留天數,默認30天-->
            <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
        </rollingPolicy>
    </appender>
    <!--DEBUG日志輸出到LogStash-->
    <appender name="LOG_STASH_DEBUG" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
        <filter class="ch.qos.logback.classic.filter.ThresholdFilter">
            <level>DEBUG</level>
        </filter>
        <destination>${LOG_STASH_HOST}:4560</destination>
        <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
            <providers>
                <timestamp>
                    <timeZone>Asia/Shanghai</timeZone>
                </timestamp>
                <!--自定義日志輸出格式-->
                <pattern>
                    <pattern>
                        {
                        "project": "mall-tiny",
                        "level": "%level",
                        "service": "${APP_NAME:-}",
                        "pid": "${PID:-}",
                        "thread": "%thread",
                        "class": "%logger",
                        "message": "%message",
                        "stack_trace": "%exception{20}"
                        }
                    </pattern>
                </pattern>
            </providers>
        </encoder>
        <!--當有多個LogStash服務時,設置訪問策略為輪詢-->
        <connectionStrategy>
            <roundRobin>
                <connectionTTL>5 minutes</connectionTTL>
            </roundRobin>
        </connectionStrategy>
    </appender>
    <!--ERROR日志輸出到LogStash-->
    <appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
        <filter class="ch.qos.logback.classic.filter.LevelFilter">
            <level>ERROR</level>
            <onMatch>ACCEPT</onMatch>
            <onMismatch>DENY</onMismatch>
        </filter>
        <destination>${LOG_STASH_HOST}:4561</destination>
        <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
            <providers>
                <timestamp>
                    <timeZone>Asia/Shanghai</timeZone>
                </timestamp>
                <!--自定義日志輸出格式-->
                <pattern>
                    <pattern>
                        {
                        "project": "mall-tiny",
                        "level": "%level",
                        "service": "${APP_NAME:-}",
                        "pid": "${PID:-}",
                        "thread": "%thread",
                        "class": "%logger",
                        "message": "%message",
                        "stack_trace": "%exception{20}"
                        }
                    </pattern>
                </pattern>
            </providers>
        </encoder>
        <!--當有多個LogStash服務時,設置訪問策略為輪詢-->
        <connectionStrategy>
            <roundRobin>
                <connectionTTL>5 minutes</connectionTTL>
            </roundRobin>
        </connectionStrategy>
    </appender>
    <!--業務日志輸出到LogStash-->
    <appender name="LOG_STASH_BUSINESS" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
        <destination>${LOG_STASH_HOST}:4562</destination>
        <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
            <providers>
                <timestamp>
                    <timeZone>Asia/Shanghai</timeZone>
                </timestamp>
                <!--自定義日志輸出格式-->
                <pattern>
                    <pattern>
                        {
                        "project": "mall-tiny",
                        "level": "%level",
                        "service": "${APP_NAME:-}",
                        "pid": "${PID:-}",
                        "thread": "%thread",
                        "class": "%logger",
                        "message": "%message",
                        "stack_trace": "%exception{20}"
                        }
                    </pattern>
                </pattern>
            </providers>
        </encoder>
        <!--當有多個LogStash服務時,設置訪問策略為輪詢-->
        <connectionStrategy>
            <roundRobin>
                <connectionTTL>5 minutes</connectionTTL>
            </roundRobin>
        </connectionStrategy>
    </appender>
    <!--接口訪問記錄日志輸出到LogStash-->
    <appender name="LOG_STASH_RECORD" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
        <destination>${LOG_STASH_HOST}:4563</destination>
        <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
            <providers>
                <timestamp>
                    <timeZone>Asia/Shanghai</timeZone>
                </timestamp>
                <!--自定義日志輸出格式-->
                <pattern>
                    <pattern>
                        {
                        "project": "mall-tiny",
                        "level": "%level",
                        "service": "${APP_NAME:-}",
                        "class": "%logger",
                        "message": "%message"
                        }
                    </pattern>
                </pattern>
            </providers>
        </encoder>
        <!--當有多個LogStash服務時,設置訪問策略為輪詢-->
        <connectionStrategy>
            <roundRobin>
                <connectionTTL>5 minutes</connectionTTL>
            </roundRobin>
        </connectionStrategy>
    </appender>
    <!--控制框架輸出日志-->
    <logger name="org.slf4j" level="INFO"/>
    <logger name="springfox" level="INFO"/>
    <logger name="io.swagger" level="INFO"/>
    <logger name="org.springframework" level="INFO"/>
    <logger name="org.hibernate.validator" level="INFO"/>
    <root level="DEBUG">
        <appender-ref ref="CONSOLE"/>
        <!--<appender-ref ref="FILE_DEBUG"/>-->
        <!--<appender-ref ref="FILE_ERROR"/>-->
        <appender-ref ref="LOG_STASH_DEBUG"/>
        <appender-ref ref="LOG_STASH_ERROR"/>
    </root>
    <logger name="com.macro.mall.tiny.component" level="DEBUG">
        <appender-ref ref="LOG_STASH_RECORD"/>
    </logger>
    <logger name="com.macro.mall" level="DEBUG">
        <appender-ref ref="LOG_STASH_BUSINESS"/>
    </logger>
</configuration>

配置要點解析

使用默認的日志配置

一般我們不需要自定義控制臺輸出,可以采用默認配置,具體配置參考console-appender.xml,該文件在spring-boot-${version}.jar下面。

<!--引用默認日志配置-->
<include resource="org/springframework/boot/logging/logback/defaults.xml"/>
<!--使用默認的控制臺日志輸出實現-->
<include resource="org/springframework/boot/logging/logback/console-appender.xml"/>

springProperty

該標簽可以從SpringBoot的配置文件中獲取配置屬性,比如說在不同環境下我們的Logstash服務地址是不一樣的,我們就可以把該地址定義在application.yml來使用。

例如在application-dev.yml中定義瞭這些屬性:

logstash:
  host: localhost

logback-spring.xml中就可以直接這樣使用:

<!--應用名稱-->
<springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/>
<!--LogStash訪問host-->
<springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>

filter

在Logback中有兩種不同的過濾器,用來過濾日志輸出。

ThresholdFilter:臨界值過濾器,過濾掉低於指定臨界值的日志,比如下面的配置將過濾掉所有低於INFO級別的日志。

<filter class="ch.qos.logback.classic.filter.ThresholdFilter">
    <level>INFO</level>
</filter>

LevelFilter:級別過濾器,根據日志級別進行過濾,比如下面的配置將過濾掉所有非ERROR級別的日志。

<filter class="ch.qos.logback.classic.filter.LevelFilter">
    <level>ERROR</level>
    <onMatch>ACCEPT</onMatch>
    <onMismatch>DENY</onMismatch>
</filter>

appender

Appender可以用來控制日志的輸出形式,主要有下面三種。

  • ConsoleAppender:控制日志輸出到控制臺的形式,比如在console-appender.xml中定義的默認控制臺輸出。
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
	<encoder>
		<pattern>${CONSOLE_LOG_PATTERN}</pattern>
	</encoder>
</appender>
  • RollingFileAppender:控制日志輸出到文件的形式,可以控制日志文件生成策略,比如文件名稱格式、超過多大重新生成文件以及刪除超過多少天的文件。
<!--ERROR日志輸出到文件-->
<appender name="FILE_ERROR"
          class="ch.qos.logback.core.rolling.RollingFileAppender">
    <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
        <!--設置文件命名格式-->
        <fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
        <!--設置日志文件大小,超過就重新生成文件,默認10M-->
        <maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
        <!--日志文件保留天數,默認30天-->
        <maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
    </rollingPolicy>
</appender>
  • LogstashTcpSocketAppender:控制日志輸出到Logstash的形式,可以用來配置Logstash的地址、訪問策略以及日志的格式。
<!--ERROR日志輸出到LogStash-->
<appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
    <destination>${LOG_STASH_HOST}:4561</destination>
    <encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
        <providers>
            <timestamp>
                <timeZone>Asia/Shanghai</timeZone>
            </timestamp>
            <!--自定義日志輸出格式-->
            <pattern>
                <pattern>
                    {
                    "project": "mall-tiny",
                    "level": "%level",
                    "service": "${APP_NAME:-}",
                    "pid": "${PID:-}",
                    "thread": "%thread",
                    "class": "%logger",
                    "message": "%message",
                    "stack_trace": "%exception{20}"
                    }
                </pattern>
            </pattern>
        </providers>
    </encoder>
    <!--當有多個LogStash服務時,設置訪問策略為輪詢-->
    <connectionStrategy>
        <roundRobin>
            <connectionTTL>5 minutes</connectionTTL>
        </roundRobin>
    </connectionStrategy>
</appender>

logger

隻有配置到logger節點上的appender才會被使用,logger用於配置哪種條件下的日志被打印,root是一種特殊的appender,下面介紹下日志劃分的條件。

  • 調試日志:所有的DEBUG級別以上日志;
  • 錯誤日志:所有的ERROR級別日志;
  • 業務日志:com.macro.mall包下的所有DEBUG級別以上日志;
  • 記錄日志:com.macro.mall.tiny.component.WebLogAspect類下所有DEBUG級別以上日志,該類是統計接口訪問信息的AOP切面類。

控制框架輸出日志

還有一些使用框架內部的日志,DEBUG級別的日志對我們並沒有啥用處,都可以設置為瞭INFO以上級別。

<!--控制框架輸出日志-->
<logger name="org.slf4j" level="INFO"/>
<logger name="springfox" level="INFO"/>
<logger name="io.swagger" level="INFO"/>
<logger name="org.springframework" level="INFO"/>
<logger name="org.hibernate.validator" level="INFO"/>

Logstash配置詳解

接下來我們需要配置下Logstash,讓它可以分場景收集不同的日志,下面詳細介紹下使用到的配置。

完全配置

input {
  tcp {
    mode => "server"
    host => "0.0.0.0"
    port => 4560
    codec => json_lines
    type => "debug"
  }
  tcp {
    mode => "server"
    host => "0.0.0.0"
    port => 4561
    codec => json_lines
    type => "error"
  }
  tcp {
    mode => "server"
    host => "0.0.0.0"
    port => 4562
    codec => json_lines
    type => "business"
  }
  tcp {
    mode => "server"
    host => "0.0.0.0"
    port => 4563
    codec => json_lines
    type => "record"
  }
}
filter{
  if [type] == "record" {
    mutate {
      remove_field => "port"
      remove_field => "host"
      remove_field => "@version"
    }
    json {
      source => "message"
      remove_field => ["message"]
    }
  }
}
output {
  elasticsearch {
    hosts => ["es:9200"]
    action => "index"
    codec => json
    index => "mall-tiny-%{type}-%{+YYYY.MM.dd}"
    template_name => "mall-tiny"
  }
}

配置要點

  • input:使用不同端口收集不同類型的日志,從4560~4563開啟四個端口;
  • filter:對於記錄類型的日志,直接將JSON格式的message轉化到source中去,便於搜索查看;
  • output:按類型、時間自定義索引格式。

SpringBoot配置

在SpringBoot中的配置可以直接用來覆蓋Logback中的配置,比如logging.level.root就可以覆蓋<root>節點中的level配置。

  • 開發環境配置:application-dev.yml
logstash:
  host: localhost
logging:
  level:
    root: debug
  • 測試環境配置:application-test.yml
logstash:
  host: 192.168.3.101
logging:
  level:
    root: debug
  • 生產環境配置:application-prod.yml
logstash:
  host: logstash-prod
logging:
  level:
    root: info

Kibana進階使用

進過上面ELK環境的搭建和配置以後,我們的日志收集系統終於可以用起來瞭,下面介紹下在Kibana中的使用技巧!

  • 首先啟動我們的測試Demo,然後通用調用接口(可以使用Swagger),產生一些日志信息;

  • 調用完成後在Management->Kibana->Index Patterns中可以創建Index Patterns,Kibana服務訪問地址:http://192.168.3.101:5601

  • 創建完成後可以在Discover中查看所有日志,調試日志隻需直接查看mall-tiny-debug*模式的日志即可;

  • 對於日志搜索,kibana有非常強大的提示功能,可以通過搜索欄右側的Options按鈕打開;

  • 記錄日志隻需直接查看mall-tiny-record*模式的日志即可,如果我們想要搜索uri為/brand/listAll的記錄日志,隻需在搜索欄中輸入uri : "/brand/listAll"

  • 錯誤日志,隻需直接查看mall-tiny-error*模式的日志即可;

  • 業務日志,隻需直接查看mall-tiny-business*模式的日志即可,這裡我們可以查看一些SQL日志的輸出;

  • 如果日志太大瞭,可以通過Elasticsearch->Index Management選擇刪除即可。

項目源碼地址:

https://github.com/macrozheng/mall-learning/tree/master/mall-tiny-log

SpringBoot實戰電商項目mall(35k+star)地址:

https://github.com/macrozheng/mall

以上就是ELK搭建線上日志收集系統的詳細內容,更多關於ELK搭建日志收集系統的資料請關註WalkonNet其它相關文章!

推薦閱讀: