ELK日志收集系统搭建

首先我们需要搭建ELK日志收集系统，这里使用在Docker环境下安装的方式。

• 安装并运行Elasticsearch容器，使用如下命令即可；

docker run -p 9200:9200 -p 9300:9300 --name elasticsearch \
-e "discovery.type=single-node" \
-e "cluster.name=elasticsearch" \
-e "ES_JAVA_OPTS=-Xms512m -Xmx1024m" \
-v /mydata/elasticsearch/plugins:/usr/share/elasticsearch/plugins \
-v /mydata/elasticsearch/data:/usr/share/elasticsearch/data \
-d elasticsearch:7.17.3

• 启动时会发现/usr/share/elasticsearch/data目录没有访问权限，只需要修改/mydata/elasticsearch/data目录的权限，再重新启动即可；

chmod 777 /mydata/elasticsearch/data/

• 安装并运行Logstash容器，使用如下命令即可，logstash.conf文件地址：https://github.com/macrozheng/mall/blob/master/document/elk/logstash.conf

docker run --name logstash -p 4560:4560 -p 4561:4561 -p 4562:4562 -p 4563:4563 \
--link elasticsearch:es \
-v /mydata/logstash/logstash.conf:/usr/share/logstash/pipeline/logstash.conf \
-d logstash:7.17.3

• 进入容器内部，安装json_lines插件；

docker exec -it logstash /bin/bash
logstash-plugin install logstash-codec-json_lines

• 安装并运行Kibana容器，使用如下命令即可；

docker run --name kibana -p 5601:5601 \
--link elasticsearch:es \
-e "elasticsearch.hosts=http://es:9200" \
-d kibana:7.17.3

• ELK日志收集系统启动完成后，就可以访问Kibana的界面了，访问地址：http://192.168.3.105:5601

日志收集原理

日志收集系统的原理是这样的，首先应用集成了Logstash插件，通过TCP向Logstash传输日志。Logstash接收到日志后根据日志类型将日志存储到Elasticsearch的不同索引上去，Kibana从Elasticsearch中读取日志，然后我们就可以在Kibana中进行可视化日志分析了，具体流程图如下。

这里把日志分成了如下四种类型，方便查看：

• 调试日志（mall-debug）：所有的DEBUG级别以上日志；
• 错误日志（mall-error）：所有的ERROR级别日志；
• 业务日志（mall-business）：com.macro.mall包下的所有DEBUG级别以上日志；
• 记录日志（mall-record）：com.macro.mall.tiny.component.WebLogAspect类下所有DEBUG级别以上日志，该类是统计接口访问信息的AOP切面类。

启动应用

首先得把mall项目的三个应用启动起来，通过--link logstash:logstash连接到Logstash。

mall-admin

docker run -p 8080:8080 --name mall-admin \
--link mysql:db \
--link redis:redis \
--link logstash:logstash \
-v /etc/localtime:/etc/localtime \
-v /mydata/app/admin/logs:/var/logs \
-d mall/mall-admin:1.0-SNAPSHOT

mall-portal

docker run -p 8085:8085 --name mall-portal \
--link mysql:db \
--link redis:redis \
--link mongo:mongo \
--link rabbitmq:rabbit \
--link logstash:logstash \
-v /etc/localtime:/etc/localtime \
-v /mydata/app/portal/logs:/var/logs \
-d mall/mall-portal:1.0-SNAPSHOT

mall-search

docker run -p 8081:8081 --name mall-search \
--link elasticsearch:es \
--link mysql:db \
--link logstash:logstash \
-v /etc/localtime:/etc/localtime \
-v /mydata/app/search/logs:/var/logs \
-d mall/mall-search:1.0-SNAPSHOT

其他组件

其他组件如MySQL和Redis的部署不再赘述，想部署全套的小伙伴可以参考部署文档。

https://www.macrozheng.com/mall/deploy/mall_deploy_docker.html

可视化日志分析

接下来我们体验下Kibana的可视化日志分析功能，以mall项目为例，确实很强大！

创建索引匹配模式

• 首先我们需要打开Kibana的Stack管理功能；

• 为Kibana创建索引匹配模式；

• 大家可以看到我们之前创建的四种日志分类已经在ES中创建了索引，后缀为产生索引的日期；

• 我们需要通过表达式来匹配对应的索引，先创建mall-debug的索引匹配模式；

• 然后再创建mall-error、mall-business和mall-record的索引匹配模式；

• 接下来打开分析中的发现功能，就可以看到应用中产生的日志信息了。

日志分析

• 我们先来聊聊mall-debug日志，这类日志是最全的日志，可用于测试环境调试使用，当我们有多个服务同时产生日志时，我们可以通过过滤器来过滤出对应服务的日志；

• 当然你也可以使用Kibana的专用查询语句KQL来过滤；

• 还可以实现模糊查询，比如查询下message中包含分页的日志，查询速度确实很快；

• 通过mall-error日志可以快速获取应用的报错信息，准确定位问题，例如把Redis服务给停了，这里就输出了日志；

• 通过mall-business日志可以查看com.macro.mall包下的所有DEBUG级别以上日志，通过这个日志我们可以方便地查看调用接口时输出的SQL语句；

• 通过mall-record日志可以方便地查看接口请求情况，包括请求路径、参数、返回结果和耗时等信息，哪个接口访问慢一目了然；

总结

今天给大家分享了下mall项目中的日志收集解决方案以及如何通过Kibana来进行日志分析，对比直接去服务器上用命令行看日志，确实方便多了。而且Kibana还可以对不同服务产生的日志进行聚合，同时支持全文搜索，确实功能很强大。

项目源码地址

https://github.com/macrozheng/mall

来源：https://mp.weixin.qq.com/s/s6mkyIVrtzpWOEUv4htgBQ