排第一的得数 ELK Stack(Elasticsearch + Logstash + Kibana),这组合在业界都快成标配了。Elasticsearch 负责存日志和快速检索,Logstash 做数据清洗和转发,Kibana 则把杂乱数据变成直观图表。我们项目去年压测时,靠它一眼就盯住了某个 API 接口的响应时间峰值,顺手把数据库连接池调优了。不过它吃内存挺凶,小项目用的话可能得精简配置。
Graylog 的亮点是开箱即用,装完就能在网页上搜日志、设告警。它的日志解析规则用起来像写简版 SQL,运维同事第一次用就搞定了 Nginx 访问日志的统计报表。还有个实用功能是能对接 Slack 或钉钉,线上报错直接推群聊里,半夜爬起来查日志的次数少了一半。
Fluentd 特别适合现在流行的容器环境。它用 Ruby 写的,靠插件就能对接 Docker、Kubernetes 的日志流。我们微服务架构里每个 Pod 都挂上 Fluentd 边车容器,日志自动汇总到 S3 存储,再联动 Spark 做离线分析。虽然配置文件得花时间啃,但一旦跑顺了,扩容时根本不用操心日志收集的事。
Grafana Loki 走的是轻量化路线,专门对付海量日志采样。它存日志索引而不存原始内容,硬盘占用只有 ELK 的三分之一。上次业务高峰期磁盘 IO 撑不住,临时换用 Loki 配合 Grafana 查询,愣是没影响故障排查进度。适合那些预算有限但日志量大的团队。
Prometheus + Grafana 这套虽然主打监控指标,但配上合适的 exporter 也能玩转日志。比如用 node_exporter 抓系统日志,再通过 Grafana 画成请求失败率趋势图。我们曾在网关层用这方法逮住过一波慢查询,发现是某个第三方 API 间歇性超时导致的。
Apache NiFi 属于数据流水线工具,能实时抓取日志文件、数据库 binlog 甚至消息队列里的数据。它的可视化编排界面挺人性化,我把服务器日志、业务埋点数据都配置成不同流程组,最后统一入湖仓。虽然学习曲线陡了点,但搞过 ETL 的人应该能快速上手。
最后提个冷门但实用的------rsyslog。这老牌工具现在依然能打,配合 omelasticsearch 插件能把系统日志直推进 Elasticsearch。我们用在几台老式物理机上,省去了部署复杂 agent 的成本。别看它配置语法古早,稳定性却是一等一的,七年没重启的机器上还在兢兢业业干活。
挑工具时别光看功能多寡,得先理清自家场景:要是追求实时分析就选 ELK 或 Graylog,云原生环境优先考虑 Fluentd 或 Loki,想省服务器资源可以试试 Prometheus 组合。最好先在测试环境跑个把月,毕竟日志这玩意儿,平时感觉不到存在,真到用时可是救命的缆绳。