摘要
ELK日誌收集系統進階使用,本文主要講解如何打造一個線上環境真實可用的日誌收集系統。有了它,你就可以和去服務器上撈日誌說再見了!
ELK環境安裝
ELK是指Elasticsearch、Kibana、Logstash這三種服務搭建的日誌收集系統,具體搭建方式可以參考《SpringBoot應用整合ELK實現日誌收集》。這裏僅提供最新版本的docker-compose腳本和一些安裝要點。
docker-compose腳本
version: '3'
services:
elasticsearch:
image: elasticsearch:6.4.0
container_name: elasticsearch
environment:
- "cluster.name=elasticsearch" #設置集羣名稱爲elasticsearch
- "discovery.type=single-node" #以單一節點模式啓動
- "ES_JAVA_OPTS=-Xms512m -Xmx512m" #設置使用jvm內存大小
- TZ=Asia/Shanghai
volumes:
- /mydata/elasticsearch/plugins:/usr/share/elasticsearch/plugins #插件文件掛載
- /mydata/elasticsearch/data:/usr/share/elasticsearch/data #數據文件掛載
ports:
- 9200:9200
- 9300:9300
kibana:
image: kibana:6.4.0
container_name: kibana
links:
- elasticsearch:es #可以用es這個域名訪問elasticsearch服務
depends_on:
- elasticsearch #kibana在elasticsearch啓動之後再啓動
environment:
- "elasticsearch.hosts=http://es:9200" #設置訪問elasticsearch的地址
- TZ=Asia/Shanghai
ports:
- 5601:5601
logstash:
image: logstash:6.4.0
container_name: logstash
environment:
- TZ=Asia/Shanghai
volumes:
- /mydata/logstash/logstash.conf:/usr/share/logstash/pipeline/logstash.conf #掛載logstash的配置文件
depends_on:
- elasticsearch #kibana在elasticsearch啓動之後再啓動
links:
- elasticsearch:es #可以用es這個域名訪問elasticsearch服務
ports:
- 4560:4560
- 4561:4561
- 4562:4562
- 4563:4563
安裝要點
使用docker-compose命令運行所有服務:
docker-compose up -d
第一次啓動可能會發現Elasticsearch無法啓動,那是因爲/usr/share/elasticsearch/data目錄沒有訪問權限,只需要修改/mydata/elasticsearch/data目錄的權限,再重新啓動;
chmod 777 /mydata/elasticsearch/data/
Logstash需要安裝json_lines插件。
logstash-plugin install logstash-codec-json_lines
複製代碼
分場景收集日誌
這裏爲了方便我們查看日誌,提出一個分場景收集日誌的概念,把日誌分爲以下四種。
調試日誌:最全日誌,包含了應用中所有DEBUG級別以上的日誌,僅在開發、測試環境中開啓收集;
錯誤日誌:只包含應用中所有ERROR級別的日誌,所有環境只都開啓收集;
業務日誌:在我們應用對應包下打印的日誌,可用於查看我們自己在應用中打印的業務日誌;
記錄日誌:每個接口的訪問記錄,可以用來查看接口執行效率,獲取接口訪問參數。
Logback配置詳解
要實現上面的分場景收集日誌,主要通過Logback的配置來實現,我們先來了解下Logback的配置吧!
完全配置
在SpringBoot中,如果我們想要自定義Logback的配置,需要自行編寫logback-spring.xml文件,下面是我們這次要使用的完全配置。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE configuration>
<configuration>
<!--引用默認日誌配置-->
<include resource="org/springframework/boot/logging/logback/defaults.xml"/>
<!--使用默認的控制檯日誌輸出實現-->
<include resource="org/springframework/boot/logging/logback/console-appender.xml"/>
<!--應用名稱-->
<springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/>
<!--日誌文件保存路徑-->
<property name="LOG_FILE_PATH" value="${LOG_FILE:-${LOG_PATH:-${LOG_TEMP:-${java.io.tmpdir:-/tmp}}}/logs}"/>
<!--LogStash訪問host-->
<springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>
<!--DEBUG日誌輸出到文件-->
<appender name="FILE_DEBUG"
class="ch.qos.logback.core.rolling.RollingFileAppender">
<!--輸出DEBUG以上級別日誌-->
<filter class="ch.qos.logback.classic.filter.ThresholdFilter">
<level>DEBUG</level>
</filter>
<encoder>
<!--設置爲默認的文件日誌格式-->
<pattern>${FILE_LOG_PATTERN}</pattern>
<charset>UTF-8</charset>
</encoder>
<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
<!--設置文件命名格式-->
<fileNamePattern>${LOG_FILE_PATH}/debug/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
<!--設置日誌文件大小,超過就重新生成文件,默認10M-->
<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
<!--日誌文件保留天數,默認30天-->
<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
</rollingPolicy>
</appender>
<!--ERROR日誌輸出到文件-->
<appender name="FILE_ERROR"
class="ch.qos.logback.core.rolling.RollingFileAppender">
<!--只輸出ERROR級別的日誌-->
<filter class="ch.qos.logback.classic.filter.LevelFilter">
<level>ERROR</level>
<onMatch>ACCEPT</onMatch>
<onMismatch>DENY</onMismatch>
</filter>
<encoder>
<!--設置爲默認的文件日誌格式-->
<pattern>${FILE_LOG_PATTERN}</pattern>
<charset>UTF-8</charset>
</encoder>
<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
<!--設置文件命名格式-->
<fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
<!--設置日誌文件大小,超過就重新生成文件,默認10M-->
<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
<!--日誌文件保留天數,默認30天-->
<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
</rollingPolicy>
</appender>
<!--DEBUG日誌輸出到LogStash-->
<appender name="LOG_STASH_DEBUG" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<filter class="ch.qos.logback.classic.filter.ThresholdFilter">
<level>DEBUG</level>
</filter>
<destination>${LOG_STASH_HOST}:4560</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日誌輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"pid": "${PID:-}",
"thread": "%thread",
"class": "%logger",
"message": "%message",
"stack_trace": "%exception{20}"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略爲輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
<!--ERROR日誌輸出到LogStash-->
<appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<filter class="ch.qos.logback.classic.filter.LevelFilter">
<level>ERROR</level>
<onMatch>ACCEPT</onMatch>
<onMismatch>DENY</onMismatch>
</filter>
<destination>${LOG_STASH_HOST}:4561</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日誌輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"pid": "${PID:-}",
"thread": "%thread",
"class": "%logger",
"message": "%message",
"stack_trace": "%exception{20}"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略爲輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
<!--業務日誌輸出到LogStash-->
<appender name="LOG_STASH_BUSINESS" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<destination>${LOG_STASH_HOST}:4562</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日誌輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"pid": "${PID:-}",
"thread": "%thread",
"class": "%logger",
"message": "%message",
"stack_trace": "%exception{20}"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略爲輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
<!--接口訪問記錄日誌輸出到LogStash-->
<appender name="LOG_STASH_RECORD" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<destination>${LOG_STASH_HOST}:4563</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日誌輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"class": "%logger",
"message": "%message"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略爲輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
<!--控制框架輸出日誌-->
<logger name="org.slf4j" level="INFO"/>
<logger name="springfox" level="INFO"/>
<logger name="io.swagger" level="INFO"/>
<logger name="org.springframework" level="INFO"/>
<logger name="org.hibernate.validator" level="INFO"/>
<root level="DEBUG">
<appender-ref ref="CONSOLE"/>
<!--<appender-ref ref="FILE_DEBUG"/>-->
<!--<appender-ref ref="FILE_ERROR"/>-->
<appender-ref ref="LOG_STASH_DEBUG"/>
<appender-ref ref="LOG_STASH_ERROR"/>
</root>
<logger name="com.macro.mall.tiny.component" level="DEBUG">
<appender-ref ref="LOG_STASH_RECORD"/>
</logger>
<logger name="com.macro.mall" level="DEBUG">
<appender-ref ref="LOG_STASH_BUSINESS"/>
</logger>
</configuration>
配置要點解析
使用默認的日誌配置
一般我們不需要自定義控制檯輸出,可以採用默認配置,具體配置參考console-appender.xml,該文件在spring-boot-${version}.jar下面。
<!--引用默認日誌配置-->
<include resource="org/springframework/boot/logging/logback/defaults.xml"/>
<!--使用默認的控制檯日誌輸出實現-->
<include resource="org/springframework/boot/logging/logback/console-appender.xml"/>
springProperty
該標籤可以從SpringBoot的配置文件中獲取配置屬性,比如說在不同環境下我們的Logstash服務地址是不一樣的,我們就可以把該地址定義在application.yml來使用。
例如在application-dev.yml中定義了這些屬性:
logstash:
host: localhost
在logback-spring.xml中就可以直接這樣使用:
<!--應用名稱-->
<springProperty scope="context" name="APP_NAME" source="spring.application.name" defaultValue="springBoot"/>
<!--LogStash訪問host-->
<springProperty name="LOG_STASH_HOST" scope="context" source="logstash.host" defaultValue="localhost"/>
filter
在Logback中有兩種不同的過濾器,用來過濾日誌輸出。
ThresholdFilter:臨界值過濾器,過濾掉低於指定臨界值的日誌,比如下面的配置將過濾掉所有低於INFO級別的日誌。
<filter class="ch.qos.logback.classic.filter.ThresholdFilter">
<level>INFO</level>
</filter>
LevelFilter:級別過濾器,根據日誌級別進行過濾,比如下面的配置將過濾掉所有非ERROR級別的日誌。
<filter class="ch.qos.logback.classic.filter.LevelFilter">
<level>ERROR</level>
<onMatch>ACCEPT</onMatch>
<onMismatch>DENY</onMismatch>
</filter>
appender
Appender可以用來控制日誌的輸出形式,主要有下面三種。
ConsoleAppender:控制日誌輸出到控制檯的形式,比如在console-appender.xml中定義的默認控制檯輸出。
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>${CONSOLE_LOG_PATTERN}</pattern>
</encoder>
</appender>
RollingFileAppender:控制日誌輸出到文件的形式,可以控制日誌文件生成策略,比如文件名稱格式、超過多大重新生成文件以及刪除超過多少天的文件。
<!--ERROR日誌輸出到文件-->
<appender name="FILE_ERROR"
class="ch.qos.logback.core.rolling.RollingFileAppender">
<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
<!--設置文件命名格式-->
<fileNamePattern>${LOG_FILE_PATH}/error/${APP_NAME}-%d{yyyy-MM-dd}-%i.log</fileNamePattern>
<!--設置日誌文件大小,超過就重新生成文件,默認10M-->
<maxFileSize>${LOG_FILE_MAX_SIZE:-10MB}</maxFileSize>
<!--日誌文件保留天數,默認30天-->
<maxHistory>${LOG_FILE_MAX_HISTORY:-30}</maxHistory>
</rollingPolicy>
</appender>
LogstashTcpSocketAppender:控制日誌輸出到Logstash的形式,可以用來配置Logstash的地址、訪問策略以及日誌的格式。
<!--ERROR日誌輸出到LogStash-->
<appender name="LOG_STASH_ERROR" class="net.logstash.logback.appender.LogstashTcpSocketAppender">
<destination>${LOG_STASH_HOST}:4561</destination>
<encoder charset="UTF-8" class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder">
<providers>
<timestamp>
<timeZone>Asia/Shanghai</timeZone>
</timestamp>
<!--自定義日誌輸出格式-->
<pattern>
<pattern>
{
"project": "mall-tiny",
"level": "%level",
"service": "${APP_NAME:-}",
"pid": "${PID:-}",
"thread": "%thread",
"class": "%logger",
"message": "%message",
"stack_trace": "%exception{20}"
}
</pattern>
</pattern>
</providers>
</encoder>
<!--當有多個LogStash服務時,設置訪問策略爲輪詢-->
<connectionStrategy>
<roundRobin>
<connectionTTL>5 minutes</connectionTTL>
</roundRobin>
</connectionStrategy>
</appender>
logger
只有配置到logger節點上的appender纔會被使用,logger用於配置哪種條件下的日誌被打印,root是一種特殊的appender,下面介紹下日誌劃分的條件。
調試日誌:所有的DEBUG級別以上日誌;
錯誤日誌:所有的ERROR級別日誌;
業務日誌:com.macro.mall包下的所有DEBUG級別以上日誌;
記錄日誌:com.macro.mall.tiny.component.WebLogAspect類下所有DEBUG級別以上日誌,該類是統計接口訪問信息的AOP切面類。
控制框架輸出日誌
還有一些使用框架內部的日誌,DEBUG級別的日誌對我們並沒有啥用處,都可以設置爲了INFO以上級別。
<!--控制框架輸出日誌-->
<logger name="org.slf4j" level="INFO"/>
<logger name="springfox" level="INFO"/>
<logger name="io.swagger" level="INFO"/>
<logger name="org.springframework" level="INFO"/>
<logger name="org.hibernate.validator" level="INFO"/>
Logstash配置詳解
接下來我們需要配置下Logstash,讓它可以分場景收集不同的日誌,下面詳細介紹下使用到的配置。
完全配置
input {
tcp {
mode => "server"
host => "0.0.0.0"
port => 4560
codec => json_lines
type => "debug"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4561
codec => json_lines
type => "error"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4562
codec => json_lines
type => "business"
}
tcp {
mode => "server"
host => "0.0.0.0"
port => 4563
codec => json_lines
type => "record"
}
}
filter{
if [type] == "record" {
mutate {
remove_field => "port"
remove_field => "host"
remove_field => "@version"
}
json {
source => "message"
remove_field => ["message"]
}
}
}
output {
elasticsearch {
hosts => ["es:9200"]
action => "index"
codec => json
index => "mall-tiny-%{type}-%{+YYYY.MM.dd}"
template_name => "mall-tiny"
}
}
配置要點
input:使用不同端口收集不同類型的日誌,從4560~4563開啓四個端口;
filter:對於記錄類型的日誌,直接將JSON格式的message轉化到source中去,便於搜索查看;
output:按類型、時間自定義索引格式。
SpringBoot配置
在SpringBoot中的配置可以直接用來覆蓋Logback中的配置,比如logging.level.root就可以覆蓋<root>節點中的level配置。
開發環境配置:application-dev.yml
logstash:
host: localhost
logging:
level:
root: debug
測試環境配置:application-test.yml
logstash:
host: 192.168.3.101
logging:
level:
root: debug
生產環境配置:application-prod.yml
logstash:
host: logstash-prod
logging:
level:
root: info
Kibana進階使用
進過上面ELK環境的搭建和配置以後,我們的日誌收集系統終於可以用起來了,下面介紹下在Kibana中的使用技巧!
首先啓動我們的測試Demo,然後通用調用接口(可以使用Swagger),產生一些日誌信息;
調用完成後在Management->Kibana->Index Patterns中可以創建Index Patterns,Kibana服務訪問地址:http://192.168.3.101:5601
創建完成後可以在Discover中查看所有日誌,調試日誌只需直接查看mall-tiny-debug*模式的日誌即可;
對於日誌搜索,kibana有非常強大的提示功能,可以通過搜索欄右側的Options按鈕打開;
記錄日誌只需直接查看mall-tiny-record*模式的日誌即可,如果我們想要搜索uri爲/brand/listAll的記錄日誌,只需在搜索欄中輸入uri : "/brand/listAll";
錯誤日誌,只需直接查看mall-tiny-error*模式的日誌即可;
業務日誌,只需直接查看mall-tiny-business*模式的日誌即可,這裏我們可以查看一些SQL日誌的輸出;
如果日誌太大了,可以通過Elasticsearch->Index Management選擇刪除即可。
項目源碼地址:點擊我獲取