日志管理日志管理工具:收集,解析,可视化
Elasticsearch - 一个基于Lucene的文档存储,主要用于日志索引、存储和分析。
Fluentd - 日志收集和发出
Flume -分布式日志收集和聚合系统
Graylog2 -具有报警选项的可插入日志和事件分析服务器
Heka -流处理系统,可用于日志聚合
Kibana - 可视化日志和时间戳数据
Logstash -管理事件和日志的工具
Octopussy -日志管理解决方案(可视化/报警/报告)
Graylog与ELK方案的对比:
- ELK
—— Elasticsearch + Logstash + Kibana
- Graylog
—— Elasticsearch + Graylog Server + Graylog Web
之前试过Flunted + Elasticsearch + Kibana的方案,发现有几个缺点:
1. 不能处理多行日志,比如Mysql慢查询,Tomcat/Jetty应用的Java异常打印
2. 不能保留原始日志,只能把原始日志分字段保存,这样搜索日志结果是一堆Json格式文本,无法阅读。
3. 不复合正则表达式匹配的日志行,被全部丢弃。
本着解决以上3个缺点的原则,再次寻找替代方案。
首先找到了商业日志工具Splunk,号称日志界的Google,意思是全文搜索日志的能力,不光能解决以上3个缺点,还提供搜索单词高亮显示,不同错误级别日志标色等吸引人的特性,但是免费版有500M限制,付费版据说要3万美刀,只能放弃,继续寻找。
最后找到了Graylog,第一眼看到Graylog,只是系统日志syslog的采集工具,一点也没吸引到我。但后来深入了解后,才发现Graylog简直就是开源版的Splunk。
我自己总结的Graylog吸引人的地方:
1. 一体化方案,安装方便,不像ELK有3个独立系统间的集成问题。
2. 采集原始日志,并可以事后再添加字段,比如http_status_code,response_time等等。
3. 自己开发采集日志的脚本,并用curl/nc发送到Graylog Server,发送格式是自定义的GELF,Flunted和Logstash都有相应的输出GELF消息的插件。自己开发带来很大的*度。实际上只需要用inotify_wait监控日志的MODIFY事件,并把日志的新增行用curl/nc发送到Graylog Server就可。
4. 搜索结果高亮显示,就像google一样。
5. 搜索语法简单,比如: source:mongo AND reponse_time_ms:>5000
,避免直接输入elasticsearch搜索json语法
6. 搜索条件可以导出为elasticsearch的搜索json文本,方便直接开发调用elasticsearch rest api的搜索脚本。
Graylog开源版官网: https://www.graylog.org/
来几张官网的截图:
1. 架构图