公司服务器一多,日志就散得哪儿都是。开发查问题要登录每台机器翻文件,运维半夜被报警叫醒,还得一个个核对时间戳。这种场景太常见了,与其继续手动 grep,不如上一套集中日志管理系统。
ELK Stack:最经典的组合
ELK 是 Elasticsearch、Logstash、Kibana 的合称,现在官方叫 Elastic Stack。Logstash 负责收集和过滤日志,Elasticsearch 存储并建立索引,Kibana 提供可视化界面。比如你在三台服务器部署了 Java 服务,只需在每台装上 Filebeat,配置好输出地址:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/myapp/*.log
output.elasticsearch:
hosts: ["192.168.1.100:9200"]保存后启动,日志就会自动传到 ES,Kibana 里建个索引模式就能查。搜索错误堆栈、统计请求量都变得直观。
Graylog:开箱即用的替代选择
如果你不想折腾 Logstash 的配置语法,Graylog 更友好。它自带 Web 管理界面,规则用图形化方式设置。支持直接接收 Syslog、GELF 格式的消息,也能通过 Beats 接入。比如你想把 Nginx 访问日志按响应码分类告警,在 Graylog 里点几下就能完成,不用写一堆 filter 规则。
Loki:轻量级新秀
来自 Grafana 实验室的 Loki 更适合云原生环境。它不索引日志全文,只索引标签(如 job、instance),存储成本低很多。配合 Promtail 收集日志,可以直接在 Grafana 里查看,和监控图表放在一起分析。适合资源有限的小团队或 Kubernetes 集群。
自建 vs SaaS?看团队规模
小团队或者不想管服务器的,可以用阿里云 SLS、腾讯云 CLS 这类托管服务。开通就行,适合快速上线。但长期来看,数据量大了费用也不低。中大型团队建议自建 ELK 或 Loki,虽然前期要花点时间配置,但更可控,也更容易和内部系统集成。
选哪个系统,关键看你的实际需求。如果已经有 Grafana 做监控,Loki 上手最快;需要复杂分析和大屏展示,Kibana 依然能打;追求稳定省心,Graylog 值得考虑。