本文共 390 字,大约阅读时间需要 1 分钟。
在实际应用中,ELK收集日志通常有两种主要方式:
第一种方法是直接利用logstash的grok插件对原始日志进行过滤和清洗,将非结构化的日志转换为结构化格式_logs。
第二种方法则是对源日志格式进行适当修改,使其符合目标日志格式要求,这样logstash在处理日志时则无需额外的过滤和转换操作。
这种方法各有利弊,第一种方法优点是无需修改源日志格式,适合对线上业务影响较小的场景,但相应的性能压力较大;第二种方法则需要对日志输出格式进行预先定义,但这样可以显著降低logstash的处理压力。
为了提升日志处理效率,建议在企业实际应用中采用第二种方式,即提前定义日志输出格式,logstash仅负责日志收集和传输任务。
下面将介绍一个典型的ELK架构用于收集Apache访问日志的解决方案:
转载地址:http://breyk.baihongyu.com/