4.4.3 开源日志方案比对
提到日志系统,很多人都会使用ELK Stack(Elastic/Logstash/Kibana)来采集存储数据,Kafka用作数据临时存储,Flink用来业务数据实时分析,从而实时对业务的监控、风控。但是在以上看似简单的架构中,也隐藏了大量细节需要关注。以ES为例,用户需要关注以下几个方面:磁盘需要预留的数据空间,即原始数据*膨胀系数*(1+副本数)*(1+预留空间);数据冷热分离问题,所有数据全部保存到SSD上,成本过高。需要根据数据的重要程度和时间因素,将部分索引数据直接保存至HDD磁盘或使用Rollover功能迁移索引数据;索引设置,每个应用的两类日志,分别按照时间周期性创建索引,根据数据大小合理设置Shard数,单Shard以30~50 GB为宜,但是各应用的日志量很难准确估计,常在遇到写入或查询问题后再调整,然而重建索引的消耗又非常大;Kafka消费设置,使用Logstash消费Kafka数据再写入到ES,需要Kafka topic的patition数和logconsumer_threads相匹配,否则容易导致各partition消费不均。ES参数调优,即对写入吞吐、可见性延时、数据安全性以及查询性能等多方面因素进行综合评估和权衡后,结合集群CPU、内存,对ES一些列参数进行调优,才能更好发挥ES的特性。以上是在使用和运维ES集群中,经常会遇到和需要注意的问题,稳定维护好ES集群可真不是一件容易的事情,特别是当数据逐步扩大到数百TB,又有大量使用需求的情况下。同样的问题也存在其他系统中,这对于平时工作极其繁忙的运维和SRE同学是不小的负担。
云上一体化服务针对运维和SRE团队工作中的监控分析平台需求,以及平台搭建过程中遇到的种种问题,提供一套简单易用、稳定可靠、高性能而又具有良好性价比的解决方案。其具有以下优点:接入数据极其简便,能对数据进行实时消费并且能和对应的生态对接;海量数据查询分析力,日志服务具备百亿规模秒级查询,支持交互式查询,支持机器学习、安全检测等函数;支持数据加工,支持对数据的富化、脱敏等处理;能对日志进行异常智能诊断,及时发现异常数据;以及可以一站式完成告警监控、降噪、事务管理、通知分派等任务。
