日志体系详解本章导读日志是系统运行的"黑匣子"，承载着故障排查、性能分析、安全审计的关键数据。本章从日志规范制定到ELK Stack实战部署，全面讲解如何构建高效、可靠的日志体系，让每一次故障都能被快速定位和复盘。学习目标：目标1：掌握日志内容规范与结构化日志的最佳实践方法目标2：理解ELK Stack架构原理及各组件职责分工目标3：能够配置Logstash和Filebeat实现日志采集与处理管道目标4：熟练运用Kibana进行日志查询、聚合分析与可视化目标5：掌握敏感信息脱敏处理与日志安全规范前置知识：了解日志基本概念，熟悉Linux系统操作，具备基本的数据分析能力阅读时长：约 40 分钟一、知识概述日志是系统运行过程中产生的记录信息，是故障排查、性能分析、安全审计的重要数据来源。建立完善的日志体系，对于保障系统稳定运行至关重要。1.1 日志体系架构┌─────────────────────────────────────────────────────────────┐ │ 日志体系架构 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 数据采集层 │ │ ┌─────────────────────────────────────────────────┐ │ │ │ 应用日志 │ 系统日志 │ 访问日志 │ 审计日志 │ │ │ └─────┬─────┴─────┬─────┴─────┬─────┴─────┬─────┘ │ │ │ │ │ │ │ │ ▼ ▼ ▼ ▼ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ 数据收集层 │ │ │ │ Filebeat / Fluentd / Logstash / Fluent Bit │ │ │ └─────────────────────┬───────────────────────────┘ │ │ │ │ │ ▼ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ 消息队列（可选） │ │ │ │ Kafka / Redis │ │ │ └─────────────────────┬───────────────────────────┘ │ │ │ │ │ ▼ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ 数据处理层 │ │ │ │ Logstash / Fluentd / Vector │ │ │ └─────────────────────┬───────────────────────────┘ │ │ │ │ │ ▼ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ 存储层 │ │ │ │ Elasticsearch / ClickHouse / Loki │ │ │ └─────────────────────┬───────────────────────────┘ │ │ │ │ │ ▼ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ 分析展示层 │ │ │ │ Kibana / Grafana Loki / Elastic UI │ │ │ └─────────────────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘1.2 日志类型与级别┌─────────────────────────────────────────────────────────────┐ │ 日志类型与级别 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 日志类型： │ │ ┌─────────────┬─────────────────────────────────────┐ │ │ │ 应用日志 │ 业务逻辑、异常、调试信息 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ 访问日志 │ HTTP请求、响应时间、状态码 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ 错误日志 │ 异常堆栈、错误详情 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ 审计日志 │ 用户操作、权限变更、敏感数据访问 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ 性能日志 │ 慢查询、接口耗时、资源使用 │ │ │ └─────────────┴─────────────────────────────────────┘ │ │ │ │ 日志级别： │ │ ┌─────────────┬─────────────────────────────────────┐ │ │ │ TRACE │ 最详细的调试信息，生产环境关闭 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ DEBUG │ 调试信息，开发测试环境使用 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ INFO │ 重要业务流程信息 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ WARN │ 警告信息，不影响系统运行 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ ERROR │ 错误信息，需要关注和处理 │ │ │ ├─────────────┼─────────────────────────────────────┤ │ │ │ FATAL │ 严重错误，可能导致系统崩溃 │ │ │ └─────────────┴─────────────────────────────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘1.3 ELK Stack架构┌─────────────────────────────────────────────────────────────┐ │ ELK Stack 架构 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ Beat │────▶│ Logstash │────▶│ ES │ │ │ │ (采集) │ │ (处理) │ │ (存储) │ │ │ └──────────┘ └──────────┘ └────┬─────┘ │ │ Filebeat 解析、过滤 │ │ │ Metricbeat 数据转换 │ │ │ Heartbeat │ │ │ ▼ │ │ ┌──────────┐ │ │ │ Kibana │ │ │ │ (展示) │ │ │ └──────────┘ │ │ 可视化、查询 │ │ │ │ 扩展架构： │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ Beat │────▶│ Kafka │────▶│ Logstash │ │ │ └──────────┘ └──────────┘ └────┬─────┘ │ │ 缓冲、削峰 │ │ │ ▼ │ │ ┌──────────┐ │ │ │ ES │ │ │ └──────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘二、日志规范2.1 日志内容规范// ============================================// 日志规范示例// ============================================@Slf4j@ServicepublicclassOrderService{// ============================================// 好的日志示例// ============================================publicOrdercreateOrder(OrderRequestrequest){// 1. 记录关键操作的开始log.info("[创建订单] 开始处理, userId={}, productId={}, amount={}",request.getUserId(),request.getProductId(),request.getAmount());try{// 业务逻辑Orderorder=processOrder(request);// 2. 记录关键操作的成功结果log.info("[创建订单] 处理成功, orderId={}, userId={}, status={}",order.getId(),order.getUserId(),order.getStatus());returnorder;}catch(InventoryExceptione){// 3. 记录业务异常（包含上下文）log.warn("[创建订单] 库存不足, productId={}, requested={}, available={}",request.getProductId(),request.getQuantity(),e.getAvailableQuantity());thrownewBusinessException("库存不足");}catch(Exceptione){// 4. 记录系统异常（包含堆栈）log.error("[创建订单] 系统异常, userId={}, productId={}, error={}",request.getUserId(),request.getProductId(),e.getMessage(),e);thrownewSystemException("系统异常",e);}}// ============================================// 不好的日志示例（避免）// ============================================publicvoidbadExample(){// ❌ 信息不足log.info("处理订单");// ❌ 使用字符串拼接（性能差）log.info("用户 "+userId+" 创建订单 "+orderId);// ❌ 包含敏感信息log.info("用户登录, username={}, password={}",username,password);// ❌ 异常信息丢失try{// ...}catch(Exceptione){log.error("发生错误");// 没有记录异常堆栈}// ❌ 无意义的日志log.debug("进入方法");log.debug("退出方法");}}2.2 结构化日志// ============================================// 结构化日志配置 - Logback + Logstash// ============================================// pom.xml/* dependency groupIdnet.logstash.logback/groupId artifactIdlogstash-logback-encoder/artifactId version7.4/version /dependency */// logback-spring.xml/* ?xml version="1.0" encoding="UTF-8"? configuration springProperty scope="context" source="spring.application.name"/ springProperty scope="context" source="spring.profiles.active"/ !-- 控制台输出 -- appender encoder pattern%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n/pattern /encoder /appender !-- JSON格式输出（用于ELK） -- appender filelogs/application.json/file rollingPolicy fileNamePatternlogs/application-%d{yyyy-MM-dd}.%i.json.gz/fileNamePattern maxFileSize100MB/maxFileSize maxHistory30/maxHistory totalSizeCap10GB/totalSizeCap /rollingPolicy encoder customFields{"app_name":"${appName}","env":"${environment}"}/customFields includeMdcKeyNametraceId/includeMdcKeyName includeMdcKeyNamespanId/includeMdcKeyName includeMdcKeyNameuserId/includeMdcKeyName fieldNames timestamptimestamp/timestamp levellevel/level loggerlogger/logger threadthread/thread messagemessage/message stackTracestack_trace/stackTrace /fieldNames /encoder /appender !-- 异步输出 -- appender queueSize10000/queueSize discardingThreshold0/discardingThreshold includeCallerDatafalse/includeCallerData appender-ref ref="JSON"/ /appender root level="INFO" appender-ref ref="CONSOLE"/ appender-ref ref="ASYNC_JSON"/ /root /configuration */// ============================================// 使用MDC添加上下文信息// ============================================@ComponentpublicclassLogContextFilterimplementsWebFilter{@OverridepublicMonoVoidfilter(ServerWebExchangeexchange,WebFilterChainchain){// 从请求头获取追踪IDStringtraceId=exchange.getRequest().getHeaders().getFirst("X-Trace-Id");if(traceId==null){traceId=UUID.randomUUID().toString().replace("-","");}StringuserId=exchange.getRequest().getHeaders(