說起日誌,大家都是耳熟能詳的,一大堆日誌插件映入眼帘,日誌收集的方式也歷歷在目,但是,今天我們的重點不僅僅是收集日誌了,今天我們主要說說怎麼管理日誌 收集日誌 日誌管理的第一件事,就是日誌的收集。日誌收集是開發者必備的技巧,不管是哪個開發語言,哪個開發平臺,日誌收集的插件都是有很多選擇的。例如: . ...
說起日誌,大家都是耳熟能詳的,一大堆日誌插件映入眼帘,日誌收集的方式也歷歷在目,但是,今天我們的重點不僅僅是收集日誌了,今天我們主要說說怎麼管理日誌
收集日誌
日誌管理的第一件事,就是日誌的收集。日誌收集是開發者必備的技巧,不管是哪個開發語言,哪個開發平臺,日誌收集的插件都是有很多選擇的。例如:
.net 平臺大家鐘愛的log4net,支持多種存儲方式(文件、資料庫),多種格式,多種日誌拆分方式。
java 平臺主流的log4j、slf4j、logback,多種選擇。
日誌收集的組件這裡就不一一說明瞭,使用都是很簡單的,這裡重點說明一下,日誌我們收集應該註意的地方:
1. 日誌等級一定要規範
| 等級 | 說明 |
|---|---|
| debug | 調試信息 |
| info | 用來收集關註的信息 |
| warn | 警告信息 |
| error | 錯誤信息 |
好多開發工程師記錄日誌總是喜歡用info級別來記錄日誌,一般的組件預設級別都是info,所有info預設都是會被記錄的,而debug信息發佈後,是不會被記錄的。這是一種偷懶的做法,但這也是很普遍的做法。正確的方式應該根據日誌本身的特性去設置日誌的級別,其實規範的日誌級別是非常重要的:
- 正確的級別便於運維。便於統一調整系統日誌級別,如特殊情況可以只記錄error錯誤
沒有正確的級別,對後期日誌分析和處理是留下很大的隱患。error是需要去關註,並且處理掉的問題。info是普通日誌的記錄,大部分時候是無需關註的。
2. error日誌內容一定要詳實 ,info日誌要簡潔易懂
運營過大型系統的人都知道,除了資料庫存儲外,日誌、圖片、附件是存儲的三大債主,他們是會占用非常非常大的空間,所有記錄info的日誌,要簡潔易懂,避免空間浪費。
而對於error級別的錯誤,記錄一定要詳實,因為error的所有問題,是後期都要去解決的。- 請求的地址
- 請求的參數
- 請求的ip
- 請求的用戶
- error具體信息
- 輸出的內容
......
為了能很好的反饋當時error產生場景,以上的這些內容都應該被記錄,而且越詳細越好。
3. error日誌一定是全局統一收集的
前文說過,error的日誌,不僅是我們需要關註的,還是我需要解決掉的問題,所有error日誌非常重要。錯誤日誌的收集,必須是全局統一收集的,AOP是你最好的伙伴,如果你發現你的errorr日誌收集是在每個類中,到處是
try
{
......
}
catch()
{
log.error("......")
}這個一定要避免,不管你用那種語言,錯誤的處理,都是可以通過全局進行統一的處理,錯誤日誌也要通過全局統一收集。
管理日誌
每個開發人員對日誌的收集,都是非常熟悉的,基本都是將日誌按照日期的方式進行保存,日常使用日誌的時候,也是有一些要求:
1. 單個文件的大小要控制
因為大家都是通過日期方式保存的,但是因為有的人不重視日誌,經常會看到有的系統單個日誌文件上百M,有的甚至是幾G,而實際大家處理問題關註的都是最近的日誌,所以控制單個日誌文件的大小,對日誌的性能以及後期的運維都是非常便利的。
2. 日誌要便於瀏覽
日誌文件小才便於瀏覽,日誌最好能通過網址直接訪問到,而不需要一波三折登錄伺服器,花10分鐘下載下來,再來分析。
3. 日誌的安全性要得到保障
日誌內容有時會包含敏感信息,特別是error日誌,直接把系統的具體錯誤拋出來,所以日誌除了查看方便,還需要確保日誌文件的安全。如果是日誌文件是html或者txt,請一定記得把你的日誌文件許可權修改下,特定用戶才能訪問,不要隨便開放,所有人都能訪問。
4. 日誌要定期清理
日誌是非常占用存儲的空間,日誌太大對存儲的性能也有一定的影響,所有日誌要定期進行清理。
- 空間充足可以保留半年
- 空間不足最少也要保留3個月
當然,這個也不是一定的,根據每個系統的情況去制定清理計劃就可以了。
如果大家是小型網站,一個系統一臺伺服器,日誌管理就簡單了。如果系統是做了高可用,後端用了均衡負載,那麼,日誌存在當前伺服器是不太明智的做法,日誌一定要統一存儲,因為均衡負載隨時都可能會切換伺服器,當出現故障,你需要去找日誌究竟存在哪個伺服器,也是件很浪費時間的事情。日誌文件也可以通過:
- 共用虛擬目錄來存儲
- 定時進行文件同步來存儲
日誌存儲也是對性能有一定影響的,文件同步雖然看起來麻煩一定,但是比共用虛擬目錄的方式來說,性能會好,推薦使用這種方式。
說到日誌的同步,就不得不提Logstash這個日誌組件。Logstash是現在應用最廣的日誌收集組件,基於java平臺。其實很多java平臺的組件,是不用去瞭解java開發的,只要簡單的配置就能使用。
Logstash支持文件同步,也可以結合rsyslog進行文件同步,當然,也支持通過tcp協議,與第三方對接,好伙伴當然是Elasticsearch。Elasticsearch下文也會做簡單的介紹。
Logstash中文手冊:點擊這裡
分析日誌
日誌的分析也是一個很大的概念,可能對於運維和安全人員關註的是系統的所有日誌,包括訪問日誌、系統監測的日誌等,但是開發人員對於日誌更多的是:
- 監控系統運行錯誤,並獲取錯誤時的相關數據包
- 記錄重要的信息,某些時候便於後期檢查
所以,開發人員對日誌的需求相對而言簡單一點,但是處理不當也會面臨挑戰。如果要根據某些關鍵字找日誌,沒有一個靠譜的系統處理,那麼大家只能一直在ctrl+f 或者 find 命令中來回查找自己需要的信息,使用過的人都知道,這絕對不是一個很好的體驗。那麼是否有很好的工具來處理呢?有,這裡就介紹另外的兩個工具:
- Elasticsearch——一個基於lucene的搜索引擎工具,解決日誌的搜索問題。當然,也能解決系統的搜索問題,而且是分散式的哦。
- Kibana——一個可視化的日誌操作引擎,結合Elasticsearch可以達到更好的效果。
Kibana 界面預覽
Elasticsearch+Logstash+Kibana 就是傳說中的ELK了,應該是現在最流行的日誌處理平臺。
Elasticsearch中文文檔:點擊這裡
ELK中文文檔:點擊這裡
尾聲
前文介紹日誌收集、日誌管理註意的事項,推薦了日誌分析中兩個比較簡單常用的工具,這裡簡單說明一下,自己心目中的日誌管理系統。
整體流程如圖:
推薦的幾個工具雖然是java平臺的工具,但是日誌處理的思路不管是哪個平臺都是一樣的。ELK如果只是作為日誌管理的工具,也可以應用到.net平臺,無需再進行二次開發就可以很好的使用。ELK的使用是有一定的學習成本的,如有時間可以另起一文探討,但是,這個學習成本是可以忽略語言之間的差異。
當然,如果大家願意使用腳本同步或者rsyn文件同步進行日誌處理也是可以的。
