你居然還去服務器上撈日誌，搭個日誌收集系統難道不香麼！ 項目源碼地址：點擊我獲取

摘要

ELK日誌收集系統進階使用，本文主要講解如何打造一個線上環境真實可用的日誌收集系統。有了它，你就可以和去服務器上撈日誌說再見了！

ELK環境安裝

ELK是指Elasticsearch、Kibana、Logstash這三種服務搭建的日誌收集系統，具體搭建方式可以參考《SpringBoot應用整合ELK實現日誌收集》。這裏僅提供最新版本的docker-compose腳本和一些安裝要點。

docker-compose腳本

version: '3'

services:

elasticsearch:

image: elasticsearch:6.4.0

container_name: elasticsearch

environment:

- "cluster.name=elasticsearch" #設置集羣名稱爲elasticsearch

- "discovery.type=single-node" #以單一節點模式啓動

- "ES_JAVA_OPTS=-Xms512m -Xmx512m" #設置使用jvm內存大小

- TZ=Asia/Shanghai

volumes:

- /mydata/elasticsearch/plugins:/usr/share/elasticsearch/plugins #插件文件掛載

- /mydata/elasticsearch/data:/usr/share/elasticsearch/data #數據文件掛載

ports:

- 9200:9200

- 9300:9300

kibana:

image: kibana:6.4.0

container_name: kibana

links:

- elasticsearch:es #可以用es這個域名訪問elasticsearch服務

depends_on:

- elasticsearch #kibana在elasticsearch啓動之後再啓動

environment:

- "elasticsearch.hosts=http://es:9200" #設置訪問elasticsearch的地址

- TZ=Asia/Shanghai

ports:

- 5601:5601

logstash:

image: logstash:6.4.0

container_name: logstash

environment:

- TZ=Asia/Shanghai

volumes:

- /mydata/logstash/logstash.conf:/usr/share/logstash/pipeline/logstash.conf #掛載logstash的配置文件

depends_on:

- elasticsearch #kibana在elasticsearch啓動之後再啓動

links:

- elasticsearch:es #可以用es這個域名訪問elasticsearch服務

ports:

- 4560:4560

- 4561:4561

- 4562:4562

- 4563:4563

安裝要點

使用docker-compose命令運行所有服務：

docker-compose up -d

第一次啓動可能會發現Elasticsearch無法啓動，那是因爲/usr/share/elasticsearch/data目錄沒有訪問權限，只需要修改/mydata/elasticsearch/data目錄的權限，再重新啓動；

chmod 777 /mydata/elasticsearch/data/

Logstash需要安裝json_lines插件。

logstash-plugin install logstash-codec-json_lines

複製代碼

分場景收集日誌

這裏爲了方便我們查看日誌，提出一個分場景收集日誌的概念，把日誌分爲以下四種。

調試日誌：最全日誌，包含了應用中所有DEBUG級別以上的日誌，僅在開發、測試環境中開啓收集；

錯誤日誌：只包含應用中所有ERROR級別的日誌，所有環境只都開啓收集；

業務日誌：在我們應用對應包下打印的日誌，可用於查看我們自己在應用中打印的業務日誌；

記錄日誌：每個接口的訪問記錄，可以用來查看接口執行效率，獲取接口訪問參數。

Logback配置詳解

要實現上面的分場景收集日誌，主要通過Logback的配置來實現，我們先來了解下Logback的配置吧！

完全配置

在SpringBoot中，如果我們想要自定義Logback的配置，需要自行編寫logback-spring.xml文件，下面是我們這次要使用的完全配置。

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE configuration>

<configuration>

<!--引用默認日誌配置-->

<include resource="org/springframework/boot/logging/logback/defaults.xml"/>

<!--使用默認的控制檯日誌輸出實現-->

<include resource="org/springframework/boot/logging/logback/console-appender.xml"/>

<!--應用名稱-->

<springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/>

<!--日誌文件保存路徑-->

<property name="LOG_FILE_PATH" value="${LOG_FILE:-${LOG_PATH:-${LOG_TEMP:-${java.io.tmpdir:-/tmp}}}/logs}"/>

<!--LogStash訪問host-->

<springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>

<!--DEBUG日誌輸出到文件-->

<appender name="FILE_DEBUG"

class="ch.qos.logback.core.rolling.RollingFileAppender">

<!--輸出DEBUG以上級別日誌-->

<filter class="ch.qos.logback.classic.filter.ThresholdFilter">

<level>DEBUG</level>

</filter>

<encoder>

<!--設置爲默認的文件日誌格式-->

<pattern>${FILE_LOG_PATTERN}</pattern>

<charset>UTF-8</charset>

</encoder>

<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">

<!--設置文件命名格式-->

<fileNamePattern>${LOG_FILE_PATH}/debug/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>

<!--設置日誌文件大小，超過就重新生成文件，默認10M-->

<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>

<!--日誌文件保留天數，默認30天-->

<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>

</rollingPolicy>

</appender>

<!--ERROR日誌輸出到文件-->

<appender name="FILE_ERROR"

class="ch.qos.logback.core.rolling.RollingFileAppender">

<!--只輸出ERROR級別的日誌-->

<filter class="ch.qos.logback.classic.filter.LevelFilter">

<level>ERROR</level>

<onMatch>ACCEPT</onMatch>

<onMismatch>DENY</onMismatch>

</filter>

<encoder>

<!--設置爲默認的文件日誌格式-->

<pattern>${FILE_LOG_PATTERN}</pattern>

<charset>UTF-8</charset>

</encoder>

<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">

<!--設置文件命名格式-->

<fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>

<!--設置日誌文件大小，超過就重新生成文件，默認10M-->

<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>

<!--日誌文件保留天數，默認30天-->

<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>

</rollingPolicy>

</appender>

<!--DEBUG日誌輸出到LogStash-->

<appender name="LOG_STASH_DEBUG" class="net.logstash.logback.appender.LogstashTcpSocketAppender">

<filter class="ch.qos.logback.classic.filter.ThresholdFilter">

<level>DEBUG</level>

</filter>

<destination>${LOG_STASH_HOST}:4560</destination>

<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">

<providers>

<timestamp>

<timeZone>Asia/Shanghai</timeZone>

</timestamp>

<!--自定義日誌輸出格式-->

<pattern>

<pattern>

{

"project": "mall-tiny",

"level": "%level",

"service": "${APP_NAME:-}",

"pid": "${PID:-}",

"thread": "%thread",

"class": "%logger",

"message": "%message",

"stack_trace": "%exception{20}"

}

</pattern>

</pattern>

</providers>

</encoder>

<!--當有多個LogStash服務時，設置訪問策略爲輪詢-->

<connectionStrategy>

<roundRobin>

<connectionTTL>5 minutes</connectionTTL>

</roundRobin>

</connectionStrategy>

</appender>

<!--ERROR日誌輸出到LogStash-->

<appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender">

<filter class="ch.qos.logback.classic.filter.LevelFilter">

<level>ERROR</level>

<onMatch>ACCEPT</onMatch>

<onMismatch>DENY</onMismatch>

</filter>

<destination>${LOG_STASH_HOST}:4561</destination>

<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">

<providers>

<timestamp>

<timeZone>Asia/Shanghai</timeZone>

</timestamp>

<!--自定義日誌輸出格式-->

<pattern>

<pattern>

{

"project": "mall-tiny",

"level": "%level",

"service": "${APP_NAME:-}",

"pid": "${PID:-}",

"thread": "%thread",

"class": "%logger",

"message": "%message",

"stack_trace": "%exception{20}"

}

</pattern>

</pattern>

</providers>

</encoder>

<!--當有多個LogStash服務時，設置訪問策略爲輪詢-->

<connectionStrategy>

<roundRobin>

<connectionTTL>5 minutes</connectionTTL>

</roundRobin>

</connectionStrategy>

</appender>

<!--業務日誌輸出到LogStash-->

<appender name="LOG_STASH_BUSINESS" class="net.logstash.logback.appender.LogstashTcpSocketAppender">

<destination>${LOG_STASH_HOST}:4562</destination>

<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">

<providers>

<timestamp>

<timeZone>Asia/Shanghai</timeZone>

</timestamp>

<!--自定義日誌輸出格式-->

<pattern>

<pattern>

{

"project": "mall-tiny",

"level": "%level",

"service": "${APP_NAME:-}",

"pid": "${PID:-}",

"thread": "%thread",

"class": "%logger",

"message": "%message",

"stack_trace": "%exception{20}"

}

</pattern>

</pattern>

</providers>

</encoder>

<!--當有多個LogStash服務時，設置訪問策略爲輪詢-->

<connectionStrategy>

<roundRobin>

<connectionTTL>5 minutes</connectionTTL>

</roundRobin>

</connectionStrategy>

</appender>

<!--接口訪問記錄日誌輸出到LogStash-->

<appender name="LOG_STASH_RECORD" class="net.logstash.logback.appender.LogstashTcpSocketAppender">

<destination>${LOG_STASH_HOST}:4563</destination>

<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">

<providers>

<timestamp>

<timeZone>Asia/Shanghai</timeZone>

</timestamp>

<!--自定義日誌輸出格式-->

<pattern>

<pattern>

{

"project": "mall-tiny",

"level": "%level",

"service": "${APP_NAME:-}",

"class": "%logger",

"message": "%message"

}

</pattern>

</pattern>

</providers>

</encoder>

<!--當有多個LogStash服務時，設置訪問策略爲輪詢-->

<connectionStrategy>

<roundRobin>

<connectionTTL>5 minutes</connectionTTL>

</roundRobin>

</connectionStrategy>

</appender>

<!--控制框架輸出日誌-->

<logger name="org.slf4j" level="INFO"/>

<logger name="springfox" level="INFO"/>

<logger name="io.swagger" level="INFO"/>

<logger name="org.springframework" level="INFO"/>

<logger name="org.hibernate.validator" level="INFO"/>

<root level="DEBUG">

<appender-ref ref="CONSOLE"/>

<!--<appender-ref ref="FILE_DEBUG"/>-->

<!--<appender-ref ref="FILE_ERROR"/>-->

<appender-ref ref="LOG_STASH_DEBUG"/>

<appender-ref ref="LOG_STASH_ERROR"/>

</root>

<logger name="com.macro.mall.tiny.component" level="DEBUG">

<appender-ref ref="LOG_STASH_RECORD"/>

</logger>

<logger name="com.macro.mall" level="DEBUG">

<appender-ref ref="LOG_STASH_BUSINESS"/>

</logger>

</configuration>

配置要點解析

使用默認的日誌配置

一般我們不需要自定義控制檯輸出，可以採用默認配置，具體配置參考console-appender.xml，該文件在spring-boot-${version}.jar下面。

<!--引用默認日誌配置-->

<include resource="org/springframework/boot/logging/logback/defaults.xml"/>

<!--使用默認的控制檯日誌輸出實現-->

<include resource="org/springframework/boot/logging/logback/console-appender.xml"/>

springProperty

該標籤可以從SpringBoot的配置文件中獲取配置屬性，比如說在不同環境下我們的Logstash服務地址是不一樣的，我們就可以把該地址定義在application.yml來使用。

例如在application-dev.yml中定義了這些屬性：

logstash:

host: localhost

在logback-spring.xml中就可以直接這樣使用：

<!--應用名稱-->

<springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/>

<!--LogStash訪問host-->

<springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>

filter

在Logback中有兩種不同的過濾器，用來過濾日誌輸出。

ThresholdFilter：臨界值過濾器，過濾掉低於指定臨界值的日誌，比如下面的配置將過濾掉所有低於INFO級別的日誌。

<filter class="ch.qos.logback.classic.filter.ThresholdFilter">

<level>INFO</level>

</filter>

LevelFilter：級別過濾器，根據日誌級別進行過濾，比如下面的配置將過濾掉所有非ERROR級別的日誌。

<filter class="ch.qos.logback.classic.filter.LevelFilter">

<level>ERROR</level>

<onMatch>ACCEPT</onMatch>

<onMismatch>DENY</onMismatch>

</filter>

appender

Appender可以用來控制日誌的輸出形式，主要有下面三種。

ConsoleAppender：控制日誌輸出到控制檯的形式，比如在console-appender.xml中定義的默認控制檯輸出。

<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">

<encoder>

<pattern>${CONSOLE_LOG_PATTERN}</pattern>

</encoder>

</appender>

RollingFileAppender：控制日誌輸出到文件的形式，可以控制日誌文件生成策略，比如文件名稱格式、超過多大重新生成文件以及刪除超過多少天的文件。

<!--ERROR日誌輸出到文件-->

<appender name="FILE_ERROR"

class="ch.qos.logback.core.rolling.RollingFileAppender">

<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">

<!--設置文件命名格式-->

<fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>

<!--設置日誌文件大小，超過就重新生成文件，默認10M-->

<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>

<!--日誌文件保留天數，默認30天-->

<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>

</rollingPolicy>

</appender>

LogstashTcpSocketAppender：控制日誌輸出到Logstash的形式，可以用來配置Logstash的地址、訪問策略以及日誌的格式。

<!--ERROR日誌輸出到LogStash-->

<appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender">

<destination>${LOG_STASH_HOST}:4561</destination>

<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">

<providers>

<timestamp>

<timeZone>Asia/Shanghai</timeZone>

</timestamp>

<!--自定義日誌輸出格式-->

<pattern>

<pattern>

{

"project": "mall-tiny",

"level": "%level",

"service": "${APP_NAME:-}",

"pid": "${PID:-}",

"thread": "%thread",

"class": "%logger",

"message": "%message",

"stack_trace": "%exception{20}"

}

</pattern>

</pattern>

</providers>

</encoder>

<!--當有多個LogStash服務時，設置訪問策略爲輪詢-->

<connectionStrategy>

<roundRobin>

<connectionTTL>5 minutes</connectionTTL>

</roundRobin>

</connectionStrategy>

</appender>

logger

只有配置到logger節點上的appender纔會被使用，logger用於配置哪種條件下的日誌被打印，root是一種特殊的appender，下面介紹下日誌劃分的條件。

調試日誌：所有的DEBUG級別以上日誌；

錯誤日誌：所有的ERROR級別日誌；

業務日誌：com.macro.mall包下的所有DEBUG級別以上日誌；

記錄日誌：com.macro.mall.tiny.component.WebLogAspect類下所有DEBUG級別以上日誌，該類是統計接口訪問信息的AOP切面類。

控制框架輸出日誌

還有一些使用框架內部的日誌，DEBUG級別的日誌對我們並沒有啥用處，都可以設置爲了INFO以上級別。

<!--控制框架輸出日誌-->

<logger name="org.slf4j" level="INFO"/>

<logger name="springfox" level="INFO"/>

<logger name="io.swagger" level="INFO"/>

<logger name="org.springframework" level="INFO"/>

<logger name="org.hibernate.validator" level="INFO"/>

Logstash配置詳解

接下來我們需要配置下Logstash，讓它可以分場景收集不同的日誌，下面詳細介紹下使用到的配置。

完全配置

input {

tcp {

mode => "server"

host => "0.0.0.0"

port => 4560

codec => json_lines

type => "debug"

}

tcp {

mode => "server"

host => "0.0.0.0"

port => 4561

codec => json_lines

type => "error"

}

tcp {

mode => "server"

host => "0.0.0.0"

port => 4562

codec => json_lines

type => "business"

}

tcp {

mode => "server"

host => "0.0.0.0"

port => 4563

codec => json_lines

type => "record"

}

}

filter{

if [type] == "record" {

mutate {

remove_field => "port"

remove_field => "host"

remove_field => "@version"

}

json {

source => "message"

remove_field => ["message"]

}

}

}

output {

elasticsearch {

hosts => ["es:9200"]

action => "index"

codec => json

index => "mall-tiny-%{type}-%{+YYYY.MM.dd}"

template_name => "mall-tiny"

}

}

配置要點

input：使用不同端口收集不同類型的日誌，從4560~4563開啓四個端口；

filter：對於記錄類型的日誌，直接將JSON格式的message轉化到source中去，便於搜索查看；

output：按類型、時間自定義索引格式。

SpringBoot配置

在SpringBoot中的配置可以直接用來覆蓋Logback中的配置，比如logging.level.root就可以覆蓋<root>節點中的level配置。

開發環境配置：application-dev.yml

logstash:

host: localhost

logging:

level:

root: debug

測試環境配置：application-test.yml

logstash:

host: 192.168.3.101

logging:

level:

root: debug

生產環境配置：application-prod.yml

logstash:

host: logstash-prod

logging:

level:

root: info

Kibana進階使用

進過上面ELK環境的搭建和配置以後，我們的日誌收集系統終於可以用起來了，下面介紹下在Kibana中的使用技巧！

首先啓動我們的測試Demo，然後通用調用接口（可以使用Swagger），產生一些日誌信息；

​

調用完成後在Management->Kibana->Index Patterns中可以創建Index Patterns，Kibana服務訪問地址：http://192.168.3.101:5601

​

創建完成後可以在Discover中查看所有日誌，調試日誌只需直接查看mall-tiny-debug*模式的日誌即可；

​

對於日誌搜索，kibana有非常強大的提示功能，可以通過搜索欄右側的Options按鈕打開；

​

記錄日誌只需直接查看mall-tiny-record*模式的日誌即可，如果我們想要搜索uri爲/brand/listAll的記錄日誌，只需在搜索欄中輸入uri : "/brand/listAll"；

​

錯誤日誌，只需直接查看mall-tiny-error*模式的日誌即可；

​

業務日誌，只需直接查看mall-tiny-business*模式的日誌即可，這裏我們可以查看一些SQL日誌的輸出；

​

如果日誌太大了，可以通過Elasticsearch->Index Management選擇刪除即可。

項目源碼地址：點擊我獲取

​