ELK集中化日誌解決方案——看這一篇全搞定
一、前言
在軟體發開技術管理里有兩個永恆經典的問題,適合我們初到一家軟體企業或一家公司的科技團隊,來判斷自己該從哪裡入手幫助整個團隊提升科技水平和產能。問題一是「在我們團隊里,只涉及一行程式碼的變更需要多久才能上線?」,問題二是「在我們團隊里,定位一個線上問題需要多久?流程是什麼?」。問題一關注的是「交付」,問題二關注的是「保障」。今天寫這邊文章跟大家聊聊有關問題二的故事。
不怕大家笑話,我最初的公司每個服務生產上就兩台Tomcat。定位生產問題,就是連上一台機器,然後用使用 cd / tail / grep / sed / awk 等 Linux 腳本去日誌里查找故障原因。如果發現不在這台機器上,就去另一台機器上查日誌。(如果你現在的公司還是這樣干,記住出去面試的時候也不要說是這樣干,不然很容易由於你之前的公司的整體技術水平太low而把你pass掉)
但在應用伺服器規模較大的場景中,此方法效率低下,面臨問題包括日誌量太大如何歸檔、文本搜索太慢怎麼辦、如何多維度查詢。需要集中化的日誌管理,所有伺服器上的日誌收集匯總。常見解決思路是建立集中式日誌收集系統,將所有節點上的日誌統一收集,管理,訪問。一般大型系統是一個分散式部署的架構,不同的服務模組部署在不同的伺服器上,問題出現時,大部分情況需要根據問題暴露的關鍵資訊,定位到具體的伺服器和服務模組,構建一套集中式日誌系統,可以提高定位問題的效率。
以搜索引擎聞名世界的開源軟體提供商-Elastic為我們大家提供了一套完整的日誌收集以及展示的解決方案——ELK。是三個產品的首字母縮寫,分別是ElasticSearch、Logstash 和 Kibana。
二、ELK簡介
Logstash主要是用來負責搜集、分析、過濾日誌的工具,支援大量的數據獲取方式。一般工作方式為c/s架構,client端安裝在需要收集日誌的主機上,server端負責將收到的各節點日誌進行過濾、修改等操作在一併發往elasticsearch上去。
ElasticSearch用來負責存儲最終數據、建立索引和對外提供搜索日誌的功能。它是個開源分散式搜索引擎,提供搜集、分析、存儲數據三大功能。它的特點有:分散式,零配置,自動發現,索引自動分片,索引副本機制,restful風格介面,多數據源,自動搜索負載等。
Kibana是一個優秀的前端日誌展示框架,它可以非常詳細的將日誌轉化為各種圖表,為用戶提供強大的數據可視化支援。
三、不同級別的ELK架構
1、入門級
這是最簡單的ELK架構,這種架構下我們把 Logstash實例與Elasticsearch實例直接相連,主要就是圖一個簡單。我們的程式App將日誌寫入Log,然後Logstash將Log讀出,進行過濾,寫入Elasticsearch。最後瀏覽器訪問Kibana,提供一個可視化輸出。
入門級版本的缺點主要是兩個
- 在大並發情況下,日誌傳輸峰值比較大。如果直接寫入ES,ES的HTTP API處理能力有限,在日誌寫入頻繁的情況下可能會超時、丟失,所以需要一個緩衝中間件。
- 注意了,Logstash將Log讀出、過濾、輸出都是在應用伺服器上進行的,這勢必會造成伺服器上佔用系統資源較高,性能不佳,需要進行拆分。
於是我們作為公司最牛的架構師,提出了一個升級版的ELK架構,解決如上兩個問題。
2、升級版
在這版中,加入一個緩衝中間件(消息隊列)。另外對Logstash拆分為Shipper和Indexer。先說一下,LogStash自身沒有什麼角色,只是根據不同的功能、不同的配置給出不同的稱呼而已。Shipper來進行日誌收集,Indexer從緩衝中間件接收日誌,過濾輸出到Elasticsearch。具體如下圖所示
大家會發現,早期的部落格,都是推薦使用redis。因為這是ELK Stack 官網建議使用 Redis 來做消息隊列,但是很多大佬已經通過實踐證明使用Kafka更加優秀。原因如下:
- Redis無法保證消息的可靠性,這點Kafka可以做到
- Kafka的吞吐量和集群模式都比Redis更優秀
- Redis受限於機器記憶體,當記憶體達到Max,數據就會拋棄。當然,你可以說我們可以加大記憶體啊?但是,在Redis中記憶體越大,觸發持久化的操作阻塞主執行緒的時間越長。相比之下,Kafka的數據是堆積在硬碟中,不存在這個問題。
但這個升級版仍然存在缺陷:
- Logstash Shipper是jvm跑的,非常佔用JAVA記憶體! 。據《ELK系統使用filebeat替代logstash進行日誌採集》這篇文章說明,8執行緒8GB記憶體下,Logstash常駐記憶體660M(JAVA)。因此,這麼一個巨無霸部署在應用伺服器端就不大合適了,我們需要一個更加輕量級的日誌採集組件。
- 上述架構如果部署成集群,所有業務放在一個大集群中相互影響。一個業務系統出問題了,就會拖垮整個日誌系統。因此,需要進行業務隔離!
於是我們給我們在Elastic公司的朋友打了個電話,說明了他們這個集中型日誌解決方案的弊端——太費CPU也就太費電。Elastic公司的朋友電話中告訴我們最近新研發了一個FileBeat,它是一個輕量級的日誌收集處理工具(Agent),Filebeat佔用資源少,適合於在各個伺服器上搜集日誌後傳輸給Logstash,官方也推薦此工具。
3、大師版
從上圖可以看到,Elasticsearch根據業務部了3個集群,他們之間相互獨立。避免出現,一個業務拖垮了Elasticsearch集群,整個日誌系統就一起宕機的情況。而且,從運維角度來說,這種架構運維起來也更加方便。
這套架構的缺點在於對日誌沒有進行冷熱分離。因為我們一般來說,一個月之內不排查的錯誤日誌,那都是不重要的錯誤。以30天作為界限,區分冷熱數據,可以大大的優化查詢速度。
4、專家版
這一版,我們對數據進行冷熱分離。每個業務準備兩個Elasticsearch集群,可以理解為冷熱集群。7天以內的數據,存入熱集群,以SSD存儲索引。超過7天,就進入冷集群,以SATA存儲索引。這麼一改動,性能又得到提升
四、ELK的工作原理
1、Filebeat工作原理
Filebeat由兩個主要組件組成:prospectors 和 harvesters。這兩個組件協同工作將文件變動發送到指定的輸出中。
Harvester(收割機):負責讀取單個文件內容。每個文件會啟動一個Harvester,每個Harvester會逐行讀取各個文件,並將文件內容發送到制定輸出中。Harvester負責打開和關閉文件,意味在Harvester運行的時候,文件描述符處於打開狀態,如果文件在收集中被重命名或者被刪除,Filebeat會繼續讀取此文件。所以在Harvester關閉之前,磁碟不會被釋放。默認情況filebeat會保持文件打開的狀態,直到達到close_inactive(如果此選項開啟,filebeat會在指定時間內將不再更新的文件句柄關閉,時間從harvester讀取最後一行的時間開始計時。若文件句柄被關閉後,文件發生變化,則會啟動一個新的harvester。關閉文件句柄的時間不取決於文件的修改時間,若此參數配置不當,則可能發生日誌不實時的情況,由scan_frequency參數決定,默認10s。Harvester使用內部時間戳來記錄文件最後被收集的時間。例如:設置5m,則在Harvester讀取文件的最後一行之後,開始倒計時5分鐘,若5分鐘內文件無變化,則關閉文件句柄。默認5m)。
Prospector(勘測者):負責管理Harvester並找到所有讀取源。
Prospector會找到/apps/logs/*目錄下的所有info.log文件,並為每個文件啟動一個Harvester。Prospector會檢查每個文件,看Harvester是否已經啟動,是否需要啟動,或者文件是否可以忽略。若Harvester關閉,只有在文件大小發生變化的時候Prospector才會執行檢查。只能檢測本地的文件。
Filebeat如何記錄文件狀態:
將文件狀態記錄在文件中(默認在/var/lib/filebeat/registry)。此狀態可以記住Harvester收集文件的偏移量。若連接不上輸出設備,如ES等,filebeat會記錄發送前的最後一行,並再可以連接的時候繼續發送。Filebeat在運行的時候,Prospector狀態會被記錄在記憶體中。Filebeat重啟的時候,利用registry記錄的狀態來進行重建,用來還原到重啟之前的狀態。每個Prospector會為每個找到的文件記錄一個狀態,對於每個文件,Filebeat存儲唯一標識符以檢測文件是否先前被收集。
Filebeat如何保證事件至少被輸出一次:
Filebeat之所以能保證事件至少被傳遞到配置的輸出一次,沒有數據丟失,是因為filebeat將每個事件的傳遞狀態保存在文件中。在未得到輸出方確認時,filebeat會嘗試一直發送,直到得到回應。若filebeat在傳輸過程中被關閉,則不會再關閉之前確認所有時事件。任何在filebeat關閉之前為確認的時間,都會在filebeat重啟之後重新發送。這可確保至少發送一次,但有可能會重複。可通過設置shutdown_timeout 參數來設置關閉之前的等待事件回應的時間(默認禁用)。
2、Logstash工作原理
Logstash事件處理有三個階段:inputs → filters → outputs。是一個接收,處理,轉發日誌的工具。支援系統日誌,webserver日誌,錯誤日誌,應用日誌,總之包括所有可以拋出來的日誌類型。
Input:輸入數據到logstash,一些常用的輸入為:
file:從文件系統的文件中讀取,類似於tail -f命令
syslog:在514埠上監聽系統日誌消息,並根據RFC3164標準進行解析
redis:從redis service中讀取
beats:從filebeat中讀取
Filters:數據中間處理,對數據進行操作。
一些常用的過濾器為:
grok:解析任意文本數據,Grok 是 Logstash 最重要的插件。它的主要作用就是將文本格式的字元串,轉換成為具體的結構化的數據,配合正則表達式使用。內置120多個解析語法。(官方提供的grok表達式://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns
grok在線調試://grokdebug.herokuapp.com/)
mutate:對欄位進行轉換。例如對欄位進行刪除、替換、修改、重命名等。
drop:丟棄一部分events不進行處理。
clone:拷貝 event,這個過程中也可以添加或移除欄位。
geoip:添加地理資訊(為前台kibana圖形化展示使用)
Outputs:outputs是logstash處理管道的最末端組件。一個event可以在處理過程中經過多重輸出,但是一旦所有的outputs都執行結束,這個event也就完成生命周期。一些常見的outputs為:
elasticsearch:可以高效的保存數據,並且能夠方便和簡單的進行查詢。
file:將event數據保存到文件中。
graphite:將event數據發送到圖形化組件中,一個很流行的開源存儲圖形化展示的組件。
3、Elasticsearch 基本原理
舉個例子,現在我們要保存唐宋詩詞,關係型資料庫中我們們會怎麼設計?詩詞表我們可能的設計如下:
|
朝代 |
作者 |
標題 |
詩詞全文 |
|
唐 |
李白 |
靜夜思 |
床前明月光,疑是地上霜。舉頭望明月,低頭思故鄉。 |
|
宋 |
李清照 |
如夢令 |
常記溪亭日暮,沉醉不知歸路,興盡晚回舟,誤入藕花深處。爭渡,爭渡,驚起一灘鷗鷺。 |
要根據朝代或者作者尋找詩,都很簡單,比如「select 詩詞全文 from 詩詞表where作者=『李白』」,如果數據很多,查詢速度很慢,怎麼辦?我們可以在對應的查詢欄位上建立索引加速查詢。
但是如果我們現在有個需求:要求找到包含「望」字的詩詞怎麼辦?用
「select 詩詞全文 from 詩詞表 where 詩詞全文 like『%望%』」,這個意味著
要掃描庫中的詩詞全文欄位,逐條比對,找出所有包含關鍵詞「望」字的記錄,。
基本上,資料庫中一般的 SQL 優化手段都是用不上的。數量少,大概性能還能接受,如果數據量稍微大點,就完全無法接受了,更何況在互聯網這種海量數據的情況下呢?
怎麼解決這個問題呢,用倒排索引Inverted index
比如現在有:
蜀道難(唐)李白 蜀道之難難於上青天,側身西望長咨嗟。
靜夜思(唐)李白 舉頭望明月,低頭思故鄉。
春台望(唐)李隆基 暇景屬三春,高台聊四望。
鶴衝天(宋)柳永 黃金榜上,偶失龍頭望。明代暫遺賢,如何向?未遂風雲便,爭不恣狂盪。何須論得喪?才子詞人,自是白衣卿相。煙花巷陌,依約丹青屏障。
幸有意中人,堪尋訪。且恁偎紅翠,風流事,平生暢。青春都一餉。忍把浮名,換了淺斟低唱!
這些詩詞都有望字,於是我們可以這麼保存
|
序號 |
關鍵字 |
蜀道難 |
靜夜思 |
春台望 |
鶴衝天 |
|
1 |
望 |
有 |
有 |
有 |
有 |
|
|
|
|
|
|
|
其實,上述詩詞的中每個字都可以作為關鍵字,然後建立關鍵字和文檔之間的對應關係,也就是標識關鍵字被哪些文檔包含。
所以,倒排索引就是,將文檔中包含的關鍵字全部提取處理,然後再將關鍵字和文檔之間的對應關係保存起來,最後再對關鍵字本身做索引排序。用戶在檢索某一個關鍵字是,先對關鍵字的索引進行查找,再通過關鍵字與文檔的對應關係找到所在文檔。
Elasticsearch 索引是映射類型的容器。一個 Elasticsearch 索引非常像關係型世界的資料庫,是獨立的大量文檔集合。
當然在底層,肯定用到了倒排索引,最基本的結構就是「keyword」和「PostingList」,Posting list就是一個 int的數組,存儲了所有符合某個 term的文檔 id。
另外,這個倒排索引相比特定詞項出現過的文檔列表,會包含更多其它資訊。
它會保存每一個詞項出現過的文檔總數,在對應的文檔中一個具體詞項出現的總次數,詞項在文檔中的順序,每個文檔的長度,所有文檔的平均長度等等相關資訊。
