当前位置: 首页 > article >正文

架构设计 - 常用日志收集方案选型对比与推荐

目录

  • 1. 常用组合
    • 1.1 ELK Stack -> Elastic Stack
    • 1.2 EFK Stack
    • 1.3 Graylog
    • 1.4 PLG 日志系统
    • 1.5 Splunk
    • 1.6 Filebeat + ELK
    • 1.7 AWS CloudWatch Logs
    • 1.8 阿里云日志服务
    • 1.9 腾讯云 CLS(日志服务)
  • 2. 推荐

日志收集是系统监控和调试中的关键环节。常见的日志收集方案有多个,每种方案各有优劣,选择时应根据实际业务需求进行评估。以下是几种常用的日志收集方案及其特点,这里只是进行概括阐述,具体的细节还需要自己深入了解。

1. 常用组合

1.1 ELK Stack -> Elastic Stack

之前常说的 ELK = Elasticsearch、Logstash、Kibana;而现在 ELK Stack 已经演变为更广泛的 Elastic Stack,包含的核心组件除了传统的 Elasticsearch、Logstash 和 Kibana 外,还包括一些扩展工具来增强日志收集、监控和数据可视化的功能。

比如现在常用的 Elasticsearch + Logstash + Kibana + Beats 的组合,其中,Beats 负责日志的采集, Logstash 负责做日志的聚合和处理,Elasticsearch 作为日志的存储和搜索系统,Kibana 作为可视化前端展示。
例如 1.6 Filebeat + ELK/EFK 就是 Elastic Stack 中的。

在这里插入图片描述

  • 优点

    • 功能强大,可以处理大量的日志。
    • 提供强大的可视化和分析功能,通过 Kibana 展现日志的趋势、查询和告警。
    • Elasticsearch 支持强大的搜索和数据存储。
  • 缺点

    • 资源消耗较大,维护成本高,尤其是在大规模数据情况下。
    • Logstash 配置复杂,且性能相较其他方案较慢。
    • 当日志量非常大时,Elasticsearch 的性能可能会成为瓶颈。
  • 适用场景:适合日志量大、需要实时分析和搜索日志的场景,特别是在 DevOps 监控、生产环境中。

1.2 EFK Stack

之前的组合为:EFK = Elasticsearch、Fluentd、Kibana,但是后续推荐的组合为:EFK = Elasticsearch、Fluent Bit、Kibana;目前 Fluent Bit 被广泛用于轻量级的日志收集,而 Fluentd 则用于集中式的日志处理和管理。

  • Fluentd 是 Kubernetes 最常用的日志收集工具之一,可以从容器中直接收集日志,推送到 Elasticsearch。
  • Fluent Bit 是 Fluentd 的轻量级版本,适合资源受限的环境和简单的日志收集任务;Fluent Bit 现在被认为是下一代解决方案
  • 两者可相互补充或独立部署。

在这里插入图片描述
在这里插入图片描述

  • 优点

    • Fluentd 相对于 Logstash 更轻量级,性能更好。
    • 支持丰富的插件,可以方便地与各种系统集成。
    • 同样提供 Elasticsearch 的强大搜索能力和 Kibana 的可视化能力。
  • 缺点

    • Fluentd 配置复杂度仍然较高,调试需要一定经验。
    • 对于超大规模的日志数据,Elasticsearch 仍然存在性能瓶颈。
    • 在高并发日志数据处理上,可能需要一些优化。
  • 适用场景:适合需要高性能日志收集和轻量级日志处理的场景。

1.3 Graylog

专注于安全性和审计的日志系统,支持对用户行为和交易记录的追踪。

在这里插入图片描述

  • 优点

    • 专注于日志管理,使用 Elasticsearch 作为存储引擎,支持集中化日志管理和处理。
    • 拥有内置的日志解析和报警功能,支持插件扩展。
    • 界面友好,易于配置和管理。
  • 缺点

    • 与 ELK 类似,Elasticsearch 的性能瓶颈仍然存在。
    • 插件丰富度不如 Fluentd。
  • 适用场景:适合中小型团队或项目,特别是需要轻量化日志管理的环境。

1.4 PLG 日志系统

PLG = Promtail+ Loki + Grafana

在这里插入图片描述

  • 优点

    • Loki 是一种针对日志的轻量化存储方案,直接与 Promtail 和 Grafana 集成,易于安装和管理。
    • Loki 仅存储日志的索引,而非全文,因此性能较好,存储需求较低。
    • 与 Kubernetes 集成友好。
  • 缺点

    • Loki 的日志查询不如 Elasticsearch 灵活,只支持基于标签的查询。
      主要原因是 Promtail 收集日志时与 Prometheus 一样,使用是标签(如 app=webserver)来区分数据,这些标签会被存储在 Loki 中。
    • 不适合需要复杂全文搜索的场景。
  • 适用场景:适合容器化环境(如 Kubernetes),注重日志存储和监控的统一管理。

1.5 Splunk

Splunk 是金融行业的标杆日志管理工具,提供高度定制的安全合规性解决方案。

  • 优点

    • 企业级解决方案,功能非常强大,支持复杂查询和实时分析。
    • 内置机器学习分析工具,支持异常检测和高级数据分析。
    • 用户界面非常友好,支持自定义仪表板和报告。
  • 缺点

    • 成本非常高,通常只适用于大型企业。
    • 部署和维护复杂,需要专业运维人员。
  • 适用场景:适合大企业,尤其是有高性能需求且愿意支付较高费用的场景。

1.6 Filebeat + ELK

其实是 Elastic Stack 中的常用类型。Elastic Stack,包含的核心组件除了传统的 Elasticsearch、Logstash 和 Kibana 外,还包括一些扩展工具来增强日志收集、监控和数据可视化的功能。

比如现在常用的 Elasticsearch + Logstash + Kibana + Beats 的组合,其中,Beats 负责日志的采集, Logstash 负责做日志的聚合和处理,Elasticsearch 作为日志的存储和搜索系统,Kibana 作为可视化前端展示。


Filebeat 就是 Beats 中的常见的组件,主要用于收集和传输日志文件;此外常见的 Beats 还有:

  • Metricbeat:用于收集系统和服务的性能指标(如 CPU、内存、网络等)。
  • Packetbeat:用于网络数据流量的监控,分析 TCP、HTTP、DNS 等协议的性能。
  • Auditbeat:用于收集系统审计数据,包括用户登录、文件更改等活动。
  • Heartbeat:用于监控服务的可用性,通过 Ping 方式检查服务是否运行。
  • 更多…

在这里插入图片描述

  • 优点

    • Filebeat 是轻量级的日志收集器,适合边缘设备和微服务架构。
    • 配合 ELK 或 EFK,能够实现强大的日志存储和可视化功能。
    • 资源占用极低,易于配置和扩展。
  • 缺点

    • Filebeat 仅负责日志的收集,后续分析和存储仍需借助其他工具。
  • 适用场景:适合微服务架构和需要低资源占用的场景,尤其是边缘计算。

1.7 AWS CloudWatch Logs

  • 优点
    • 作为 AWS 的原生解决方案,易于与 AWS 其他服务集成,支持无缝扩展。
    • 支持自动化日志告警和可视化。
    • 提供按使用量付费的灵活收费模式,且免维护。
  • 缺点
    • 仅适用于 AWS 环境,难以在其他云或本地环境中使用。
    • 对日志分析和搜索功能有限,不如专用解决方案强大。
  • 适用场景:适合基于 AWS 云环境的应用程序,特别是需要快速集成和部署的场景。

1.8 阿里云日志服务

简介:阿里云日志服务是一种云原生的日志收集和分析解决方案,能够轻松收集、存储和查询日志数据。

  • 优点

    • 完全托管,适合无需复杂运维的公司。
    • 集成阿里云其他服务(如安全产品、监控产品)。
    • 支持弹性扩展,适应大规模日志收集。
  • 缺点

    • 云平台依赖,数据安全和合规需要关注。
    • 需要付费使用。
  • 适用场景:适合已经在 阿里云 生态环境的公司。

1.9 腾讯云 CLS(日志服务)

腾讯云提供的日志服务也是一种全托管的日志解决方案,适合中国企业,支持自动化日志收集、分析和警报。

  • 优点

    • 集成腾讯云的监控和告警系统,适合已有腾讯云用户。
    • 提供完善的权限管理和审计功能。
  • 缺点

    • 云平台锁定,适合已经在 腾讯云 生态系统中的公司。
    • 需要付费使用。
  • 适用场景:适合已经在 腾讯云 生态环境的公司。


2. 推荐

【注】虽然是常用的固定搭配,但是在实际使用过程中可以根据自身需求进行自由的组合,为系统提供更好的日志服务。

  • 小型或轻量级项目

    • Filebeat + ELK 是较好的选择,具有更好的性能和可扩展性。
    • 如果是容器化环境,且日志设计符合标签化规范,选择 PLG 或许是一个比较好的选择;如果日志设计并不是很规范的话,使用 EFK 技术栈或许更好(支持全文检索)。
  • 大中型企业

    • ELK Stack 或 Graylog 能够处理大量日志,并提供强大的搜索和可视化功能;
    • 根据开源组件自研也是一个很好的方案,更加贴合自身的业务。
  • 云环境

    • 国内的话可以使用阿里云与腾讯云提供的托管服务。
    • 如果使用了 AWS,那么可以使用 AWS 提供的日志服务。
  • 容器化环境

    • PLG 是专为容器化设计的高效日志方案,特别适合 Kubernetes。
    • EFK (Elasticsearch + Fluent Bit + Kibana)也是常用的工具组合。

http://www.kler.cn/a/311156.html

相关文章:

  • 深入了解Git、GitHub、GitLab及其应用技巧
  • 力扣.15 三数之和 three-sum
  • [ Linux 命令基础 3 ] Linux 命令详解-文件和目录管理命令
  • 16S,18S引物覆盖度测试:SILVA和PR2
  • 面试题之---解释一下原型和原型链
  • 编译文件与工具学习(二)——尝试Ubuntu24.04开发内核模块
  • 【java面试每日五题之基础篇一】(仅个人理解)
  • ACL 2024:交叉领域情感分析——论文阅读笔记
  • Kotlin cancel CoroutineScope.launch的任务后仍运行
  • PDF标准详解(五)——图形状态
  • 104. 二叉树的最大深度【 力扣(LeetCode) 】
  • VIM使用技巧
  • 从openAI最新模型GPT-o1再谈思维链(Cot)技术,大模型该怎么提升其逻辑推理能力?
  • 在 pika.SelectConnection 和 gevent 中实现高效异步:事件驱动与协程模型的冲突与优化
  • linux入门到实操-2 linux桌面、终端基本操作,文件系统、目录结构、挂载点
  • [数据集][目标检测]车窗状态检测车窗开关检测数据集VOC+YOLO格式299张3类别
  • CSS入门笔记
  • 【AI大模型-提示词的技巧】
  • python解析ip范围,拆分为所有ip数组
  • Qt快捷键说明与用法
  • 在Docker容器中执行命令
  • 数据湖-方案对比
  • ceph之osd扩容和缩容
  • 一个有个性的使用工具thefuck@Ubuntu
  • Java-list集合转成前端需要的json格式
  • 物理设计-理解与应用数据库范式于物理设计