为什么需要日志分析平台
公司服务器突然变慢,用户投诉登录不了,这时候你第一反应是什么?翻日志。但问题来了,日志分散在不同机器、不同服务里,手动查不仅慢,还容易漏掉关键信息。日志分析平台就是为解决这个问题而生的。它能把所有日志集中采集、存储、检索,甚至能做实时告警。
比如某次凌晨报警,数据库连接数暴增。通过日志平台几秒内定位到是某个定时任务没加限流,导致短时间内发起几千次请求。如果没有平台支持,光找日志可能就得花一小时。
主流平台选型参考
ELK(Elasticsearch + Logstash + Kibana)是最常见的组合,开源、灵活,适合有一定运维能力的团队。如果你希望省事,也可以考虑阿里云SLS、腾讯云CLS这类托管服务,开通即用,按量计费。
小公司初期数据量不大,用轻量级方案如Loki + Promtail + Grafana也不错,资源占用少,查询快,界面也够直观。
数据接入基本流程
第一步是采集。以ELK为例,通常在每台服务器部署Filebeat,监听指定路径的日志文件。配置文件长这样:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/nginx/access.log
- /var/log/app/*.log
output.elasticsearch:
hosts: ["http://es-server:9200"]
index: "logs-%{+yyyy.MM.dd}"保存后启动Filebeat,数据就会自动推送到Elasticsearch。注意路径和索引命名要规范,后期排查才不抓瞎。
字段解析与结构化处理
原始日志往往是非结构化的,比如一行Nginx访问日志:192.168.1.100 - - [10/Apr/2025:10:23:45 +0800] "GET /api/user?id=123 HTTP/1.1" 200 1234 "-" "Mozilla/5.0"
要在Kibana里有效分析,得拆成method、url、status、user_agent等字段。可以在Logstash里写grok规则:
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
}或者让应用直接输出JSON格式日志,省去这步解析成本。
常用查询语法实战
Kibana的查询语言其实挺简单。比如查所有500错误:response:500
想看某个接口的平均响应时间超过1秒的记录:url:"/api/order/detail" AND response_time > 1000
还可以用通配符模糊匹配:client_ip: "192.168.1.*"
时间范围默认是最近15分钟,但可以手动调整成过去24小时或自定义区间,排查历史问题时特别有用。
设置告警避免半夜被叫醒
与其等问题发生后被动响应,不如提前设好监控。比如当每分钟出现超过10条ERROR级别的日志,就触发企业微信通知。
在Kibana中进入Alerting模块,创建基于日志数量的规则:
Condition: count of logs where level: ERROR > 10
Time window: last 1 minute
Action: send message to webhook对应的webhook地址填上你的群机器人链接,就能实现实时推送。
性能优化小贴士
数据量一大,查询就卡?这是常见痛点。可以按时间建索引,只保留最近7天热数据在SSD上,更早的移到冷存储。另外,避免全表扫描,尽量用带字段的条件查询,比如service_name: order-service比单纯搜关键词快得多。
如果发现某个服务日志量异常暴涨,先检查是不是 debug 级别没关,这种日志不仅占空间,还会拖慢整个集群。