Elasticsearch - 一个基于Lucene的文档存储,主要用于日志索引、存储和分析。
Fluentd - 日志收集和发出
Flume -分布式日志收集和聚合系统
graylog2 -具有报警选项的可插入日志和事件分析服务器
Heka -流处理系统,可用于日志聚合
Kibana - 可视化日志和时间戳数据
Logstash -管理事件和日志的工具
Graylog与ELK方案的对比:
- ELK
—— Elasticsearch + Logstash + Kibana
- Graylog
—— Elasticsearch + Graylog Server + Graylog Web
之前试过Flunted + Elasticsearch + Kibana的方案,发现有几个缺点:
1. 不能处理多行日志,比如MysqL慢查询,Tomcat/Jetty应用的Java异常打印
2. 不能保留原始日志,只能把原始日志分字段保存,这样搜索日志结果是一堆Json格式文本,无法阅读。
3. 不复合正则表达式匹配的日志行,被全部丢弃。
本着解决以上3个缺点的原则,再次寻找替代方案。
首先找到了商业日志工具Splunk,号称日志界的Google,意思是全文搜索日志的能力,不光能解决以上3个缺点,还提供搜索单词高亮显示,不同错误级别日志标色等吸引人的特性,但是免费版有500M限制,付费版据说要3万美刀,只能放弃,继续寻找。
最后找到了Graylog,第一眼看到Graylog,只是系统日志syslog的采集工具,一点也没吸引到我。但后来深入了解后,才发现Graylog简直就是开源版的Splunk。
我自己总结的Graylog吸引人的地方:
1. 一体化方案,安装方便,不像ELK有3个独立系统间的集成问题。
2. 采集原始日志,并可以事后再添加字段,比如http_status_code,response_time等等。
3. 自己开发采集日志的脚本,并用curl/nc发送到Graylog Server,发送格式是自定义的GELF,Flunted和Logstash都有相应的输出GELF消息的插件。自己开发带来很大的自由度。实际上只需要用inotify_wait监控日志的MODIFY事件,并把日志的新增行用curl/nc发送到Graylog Server就可。
5. 搜索语法简单,比如:source:mongo AND reponse_time_ms:>5000,避免直接输入elasticsearch搜索json语法
6. 搜索条件可以导出为elasticsearch的搜索json文本,方便直接开发调用elasticsearch rest api的搜索脚本。
Graylog开源版官网:https://www.graylog.org/
来几张官网的截图:
1. 架构图
原文地址:https://www.jb51.cc/javaschema/283731.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
