如何優(yōu)化日志系統(tǒng)？答：此題一份請柬xinghua來幫下忙，他總結(jié)了不好算項目中對elk系統(tǒng)的一些調(diào)優(yōu)的經(jīng)驗，與你能分享百億級elk日志優(yōu)化紀實。導(dǎo)語：elk是搭建中實時自動日志分析系統(tǒng)的通用解決方案，

如何優(yōu)化日志系統(tǒng)？

答：此題一份請柬xinghua來幫下忙，他總結(jié)了不好算項目中對elk系統(tǒng)的一些調(diào)優(yōu)的經(jīng)驗，與你能分享百億級elk日志優(yōu)化紀實。

導(dǎo)語：elk是搭建中實時自動日志分析系統(tǒng)的通用解決方案，通過elk可以更方便地收集、搜索日志。但隨著日志量的增加，據(jù)不好算應(yīng)用場景的優(yōu)化調(diào)整能更充分的利用系統(tǒng)資源。本文比較多記錄我們項目中對elk系統(tǒng)的一些調(diào)優(yōu)。伴隨著王者人生查找業(yè)務(wù)的快速發(fā)展，我們每天晚上日志量很快地將近了20億條，存儲達到2TB，elk日志系統(tǒng)的壓力漸漸減少，日志系統(tǒng)的調(diào)整優(yōu)化也勢在必行。

1、日志系統(tǒng)架構(gòu)

（elk日志應(yīng)用架構(gòu)）

FileBeat是一個輕量級的日志收集處理工具(Agent)。

Elasticsearch是個開源代碼分布式搜索引擎，能提供查遍、分析、存儲數(shù)據(jù)三大功能。

Logstash要注意是用來日志的搜集、分析、水中的雜質(zhì)日志的工具，接受大量的數(shù)據(jù)獲取。

Kibana是可以為Logstash和ElasticSearch可以提供的日志分析友好的Web界面，這個可以好處信息匯總、分析和搜不重要數(shù)據(jù)日志。

2、優(yōu)化軟件日志系統(tǒng)以下要注意可以介紹filebeat、logstash、elasticsearch的一些優(yōu)化調(diào)整

2.1filebeat優(yōu)化軟件

(1)負載均衡

問題：當(dāng)日志量非常大（單機最多每天超100GB）的模塊必須上報日志時，日志從空中落下顯示延時大，要等一段時間才能在es里查進去。

原因：

當(dāng)filebeat.yml配置文件里hosts配置了多個Logstash主機，而且loadbalance設(shè)置里為true，則輸出低插件會將已先發(fā)布的事件負載平衡到所有Logstash主機上。如果不是可以設(shè)置為false，則輸出插件僅將所有事件發(fā)送到一個主機（任務(wù)道具考慮），如果沒有所選主機無響應(yīng)，則會直接切換到另一個主機。使用默認值為false。

方案：配置多個hosts，配置loadbalance為true

（修改配置前僅有一個連接到）

（負載均衡優(yōu)化后多個連接）

效果

單機filebeat吞吐量變大

（多連接上優(yōu)化軟件后單機出流量變大）

（es創(chuàng)建角色索引的速度變大）

（2）報給哪采源服務(wù)器ip

問題：又不是所有日志都會不打印本機IP，諸如極其錯誤日志來講根本無法打印服務(wù)器IP。這部分日志收集之后無法怎么區(qū)分來源，很難定位問題。

原因：filebeat目前不允許報給本機ip

方案：先添加字段client_ip，重起腳本動態(tài)可以修改client_ip為本機IP

filebeat.yml部分配置

restart_示例

效果

十分日志也能定位服務(wù)器IP

2.2logstash優(yōu)化

（1）日志擦洗、格式化

問題：再采集的遠古時期日志不規(guī)范的要求，必須過濾，磁盤格式化

方案：借用logstash并且清理

示例

效果

以刪掉message字段為例看效果

（刪除message前冗余設(shè)計一份求下載原始日志）

效果

平均每條線日志存儲空間從1.2KB下降到0.84KB，下降了近30%的存儲

（每隔一天日志統(tǒng)計）

2.3elasticsearch優(yōu)化

（1）優(yōu)化模板_template配置

問題：隨著王者榮耀wifi特權(quán)登陸游戲，日志量驟增，默認配置下磁盤達到瓶頸。

原因：設(shè)置為配置滿足的條件不了項目不需要

number_with_shards是數(shù)據(jù)分片數(shù)，默認為5

當(dāng)es集群節(jié)點遠遠超過分片數(shù)時，肯定不能充分利用所有節(jié)點

number_the_replicas是數(shù)據(jù)備份數(shù)，默認是1

方案：決定模板配置

number_of_shards替換成72

number_of_replicas轉(zhuǎn)成0

效果

每天日志的72個分片均勻地分部在36個節(jié)點

（多個節(jié)點分區(qū)分配了2個分片）

備份文件從1可以改成了0，增加了一半的寫入

（io不使用率減低）

3.總結(jié)歸納通過以上按照，目前elk日志系統(tǒng)可以不允許每天晚上達到20億條，2.2TB的日志，峰值修改索引超6萬QPS

妖軍優(yōu)化：有所不同配置（磁盤空間）機器按權(quán)重分配，充分利用資源

如何搭建中心系統(tǒng)日志審計服務(wù)器？

這個最好就是是找專業(yè)的公司做，但我建議您你是可以試試看聚銘日志審計系統(tǒng)，內(nèi)置功能高效報表模板，用戶也可以靈話定義。

采用低功耗應(yīng)用架構(gòu)設(shè)計，行最簡形矩陣事件的實時分析、審計要求。