如何用ELK分析Node日志

一、ELK Stack组件准备

ELK（Elasticsearch+Logstash+Kibana）是日志分析的核心框架，需先完成基础部署：

• Elasticsearch：作为分布式搜索引擎，负责日志存储与快速检索。安装后需调整elasticsearch.yml（设置cluster.name、node.name、network.host: localhost），并启动服务。
• Kibana：可视化工具，用于创建仪表盘。安装后修改kibana.yml（设置elasticsearch.hosts: ["localhost:9200"]），启动后通过http://localhost:5601访问。
• Logstash：数据处理管道，负责日志收集、过滤与转发。安装后创建配置文件（如logstash.conf），定义输入、过滤、输出逻辑。

二、Node.js应用日志结构化配置

为了让ELK更好解析，需将Node.js日志转为结构化格式（JSON）。推荐使用Winston日志库（支持多transport、日志分级）：

const winston = require('winston'); const logger = winston.createLogger({ format: winston.format.combine( winston.format.timestamp(), // 添加时间戳 winston.format.json() // 输出JSON格式 ), transports: [ new winston.transports.File({ filename: 'app.log', maxsize: 100 * 1024 * 1024, // 100MB切割 level: 'info' }), new winston.transports.Console({ format: winston.format.simple() // 控制台输出简化格式 }) ] }); // 示例：记录带上下文的错误日志 logger.error('Database connection failed', { errorCode: 'DB_503', requestId: 'a1b2c3d4', userId: 'user123' }); 

结构化日志（如JSON）能让Logstash更易提取timestamp、level、message、errorCode等字段，提升后续分析效率。

三、日志收集方案设计

1. 轻量级传输：Filebeat

Filebeat是ELK推荐的轻量级日志收集器（资源占用低），配置示例如下：

# filebeat.yml filebeat.inputs: - type: log enabled: true paths: - /var/log/node/*.log # Node.js日志路径 json.keys_under_root: true # 将JSON字段提升到顶层 json.add_error_key: true # 添加错误字段（如JSON解析失败） output.logstash: hosts: ["logstash:5044"] # 连接Logstash地址 compression_level: 3 # 启用gzip压缩（减少网络开销） 

启动Filebeat：./bin/filebeat -e（-e表示输出到控制台，便于调试）。

2. 复杂处理：Logstash

若需更复杂的过滤（如提取IP、解析请求时间），可使用Logstash的grok插件。示例配置：

# logstash.conf input { beats { port => 5044 # 监听Filebeat端口 } } filter { if [fileset][module] == "node" { # 根据模块过滤（可选） grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:level} %{GREEDYDATA:message}" } } date { match => ["timestamp", "ISO8601"] # 解析时间戳为Elasticsearch格式 target => "@timestamp" # 替换默认的@timestamp字段 } geoip { source => "clientip" # 若日志中有IP，提取地理位置 target => "geoip" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "nodejs-logs-%{+YYYY.MM.dd}" # 按日期分索引（便于管理） } stdout { codec => rubydebug } # 输出到控制台（调试用） } 

启动Logstash：./bin/logstash -f logstash.conf。

四、Kibana可视化分析

1. 创建索引模式

登录Kibana后，进入Stack Management > Index Patterns，点击“Create index pattern”，输入nodejs-logs-*（匹配Logstash输出的索引名），选择@timestamp作为时间字段，完成创建。

2. 基础查询与统计

• 查询示例：
  • 查找5分钟内的ERROR日志：level: "error" and @timestamp >= now()-5m
  • 统计接口响应时间P99：method: "GET" and path: "/api/v1/users" | stats percentile(response_time, 99)
• 可视化组件：
  • 使用Lens拖拽字段生成折线图（如日志量趋势）、柱状图（如错误类型分布）。
  • 使用**TSVB（Time Series Visual Builder）**创建实时监控面板（如QPS、错误率）。

3. 仪表盘构建

将常用的可视化组件添加到仪表盘（Dashboard > Create dashboard），可组合折线图、表格、饼图等，直观展示日志分析结果（如接口性能、错误趋势）。

五、进阶优化建议

• 日志轮转：使用logrotate工具避免日志文件过大（如每天切割、保留7天），配置示例：

  /var/log/node/*.log { daily missingok rotate 7 compress notifempty create 640 root adm } 

• 性能调优：
  • Elasticsearch：调整indices.query.bool.max_clause_count（建议4096）、增加分片数（如3个主分片）。
  • Logstash：设置pipeline.workers为CPU核心数的2倍（提升处理并发）。
• 安全管控：通过Elasticsearch Security模块创建角色（如log_viewer），限制索引访问权限（如仅允许读取nodejs-logs-*）。