在几乎所有现代分布式系统架构中,日志收集都是一个必须面对并解决的问题。因为在微服务化、容器化的系统里,运行状态、错误排查、性能调优等都严重依赖于日志系统的支持。日志不再只是开发时调试的工具,更是生产环境中保障系统稳定性与可观测性的基础。
那么,今天我们就从最初的 ELK 架构讲起,逐步介绍其演进路线及背后的技术逻辑,并深入剖析每一代日志收集架构的特点、优缺点及适用场景。
为什么要收集日志?
老话讲得好:“无监控,不运维”。而所谓监控的底层数据来源,核心就包括了程序运行日志。它们记录了服务启动、请求处理、异常抛出、性能瓶颈等所有细节,是分析系统行为的重要依据。
但问题在于:日志数据庞大、分散、结构不一、无标准格式,如何实现集中采集、过滤、处理、分析与可视化,成了日志系统架构设计的重心。
第一代方案:ELK 架构(Logstash + Elasticsearch + Kibana)
Elastic 公司推出的 ELK Stack 是 Java 领域日志收集的“标准答案”,由以下三大组件构成:
1. Logstash:日志处理器
角色定位:拾荒者
- 负责从日志源中采集日志(文件、TCP、Kafka 等多种来源)
- 支持强大的过滤、解析、格式转换、增强等功能
- 将处理后的日志统一格式后发送给后端系统(如 Elasticsearch)
Logstash 强大的地方在于其拥有丰富的插件机制,几乎可以对接所有类型的日志源与目标。然而它的代价也不小:
- 占用资源多(CPU、内存消耗大)
- 性能瓶颈严重,不适合部署在业务服务器上
- 配置复杂,学习曲线陡峭
2. Elasticsearch:日志存储与检索分析引擎
角色定位:算术家
- 支持海量日志的存储与索引
- 提供强大的全文检索、聚合分析能力
- 支持对指标数据(如请求响应时间、内存占用、错误数)进行实时统计与分析
ES 是整个日志系统的大脑,也是实际支撑分析、告警、查询的核心模块。
3. Kibana:可视化展示平台
角色定位:画图匠
- 提供丰富的可视化能力:折线图、柱状图、饼图等
- 用户可以自定义仪表盘、图表、搜索条件
- 直接对接 Elasticsearch,实现交互式数据分析与展示
架构图示意:
App日志 --> Logstash --> Elasticsearch --> Kibana
优缺点总结:
| 优点 | 缺点 |
|---|---|
| 架构标准成熟、社区活跃 | Logstash 性能瓶颈明显,占资源 |
| 插件丰富,接入灵活 | 不适合部署在业务服务器上 |
| 配置较规范、文档完善 | 延迟高,实时性差 |
| Kibana 展示功能强大 | 整体架构重,维护复杂 |
第二代方案:Logback + Logstash TCP 插件
为了解决第一代架构中 Logstash 占用资源大的问题,业界开始探索轻量化日志推送方案。
核心思路:
- 利用 Java 应用中常用的日志框架 Logback
- 通过 TCP 插件将日志实时推送给远程 Logstash 实例进行处理
- 减少业务服务器的计算负担
架构流程:
App日志 (Logback) --> TCP 插件 --> Logstash (集中部署) --> Elasticsearch --> Kibana
优点:
- 应用服务器上只负责日志发送,几乎不消耗 CPU
- 保留了 Logstash 强大的处理能力
缺点:
- 侵入性强:Logback 配置必须修改,且写死了 Logstash 的地址
- 耦合性高:一旦后端日志架构发生调整(如不用 Logstash),业务代码需修改
- 不利于后期扩展:只支持一种日志收集路径
该方案适合中小型业务系统,但在复杂、多变、跨团队的大型互联网项目中不具备可持续性。
第三代方案:EFK 架构(Filebeat + Elasticsearch + Kibana)
为了进一步降低侵入性并提升扩展性,Elastic 推出了轻量级日志收集工具 Filebeat,从而形成了新的日志收集三件套:
1. Filebeat:轻量日志收集器
角色定位:监听者
- 基于文件监听的方式工作,无需改动应用代码
- 资源占用小,部署简单
- 支持将日志发送至 Logstash 或 Elasticsearch,也支持 Kafka 等目标
架构图:
App --> 本地日志文件 --> Filebeat --> Elasticsearch 或 Logstash --> Kibana
优点:
- 无侵入:对业务系统无改动
- 性能轻量:资源消耗极低
- 部署灵活:支持直接发 ES 或先发 Logstash 后处理
- 故障可恢复:支持日志状态记录与断点续传
缺点:
- 天生只支持 单输出目标:即日志只能被发送到一个处理组件(例如 Logstash 或 ES 或 Kafka),不能同时发多个地方
- 不支持复杂逻辑处理(依赖后端如 Logstash)
第四代方案:KEFK 架构(Kafka + Elasticsearch + Filebeat + Kibana)
当应用规模变大,不同部门对日志有不同分析需求时,单输出通道已无法满足需求。这时我们引入了消息中间件 Kafka,形成最终形态的企业级日志采集方案——KEFK。
架构演进关键点:
- Filebeat 不再直接将日志发送到后端,而是发送到 Kafka
- ES、Kibana、Spark、Flink、Hadoop 等后端消费者统一从 Kafka 消费
- 各个系统解耦,自由组合,满足不同团队的日志分析需求
架构图:
App --> 本地日志文件 --> Filebeat --> Kafka --> ES / Logstash / Spark / ...
优点:
- 数据解耦:通过 Kafka 实现日志的广播分发,多个系统可独立消费
- 高可扩展:支持高并发写入,易于水平扩展
- 可容错:Kafka 具备强大的消息持久化与容错能力
- 灵活性强:支持异构系统并行使用日志数据
缺点:
- 架构复杂:部署 Kafka 集群、维护 Topic、消费组较繁琐
- 成本较高:资源需求大,增加运维与故障排查成本
- 延迟略高:数据链路更长
应用场景:
- 互联网大型应用(电商、直播、金融)
- 多部门、多系统对日志有差异化处理需求
- 对系统解耦性和可观测性要求高的组织
各方案对比总结
| 架构方案 | 主要组件 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|---|
| ELK | Logstash + ES + Kibana | 成熟稳定,组件一体化 | Logstash 占资源高,难部署 | 中小型应用 |
| Logback+TCP | Logback + Logstash | 资源占用小 | 代码侵入、耦合高 | Java 应用中间体量场景 |
| EFK | Filebeat + ES + Kibana | 无侵入、轻量、易维护 | 只支持单一目标输出 | 中大型系统 |
| KEFK | Filebeat + Kafka + ES + Kibana | 高扩展性,解耦性强,支持多消费 | 架构复杂,运维成本高 | 大规模互联网系统、多团队协作场景 |
写在最后
每一代日志架构的演进,都是对性能、可维护性、可扩展性三者之间平衡的不断优化。选择哪种架构没有绝对标准,而是需要结合企业自身的技术能力、系统规模、预算成本以及团队成熟度来做权衡。
如果你是:
- 初创团队或业务体量不大,ELK 或 EFK 已足够支撑;
- 成熟企业或多团队并行作战,KEFK 是主流选型;
- 对成本极度敏感或日志需求不大,可选 Logback + 文件审计。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
