1. 背景与痛点
在开发分布式系统时,日志分散在多个服务节点中,传统轮询查询方式存在延迟高、资源浪费的问题。某次线上故障中,因未能实时发现错误日志,导致问题排查时间延长2小时。因此,决定自研一套低成本、实时性高的日志监控系统。
2. 技术选型
- 数据存储:Elasticsearch(高效检索与聚合)
- 实时推送:WebSocket(全双工通信,避免HTTP轮询)
- 后端服务:Node.js + Express(轻量级,适合快速开发)
- 前端展示:Vue.js + ECharts(可视化日志趋势)
3. 核心实现步骤(附代码片段与关键配置)
3.1 Elasticsearch索引设计
json
// 日志索引模板(按时间分片) PUT /log-template { "index_patterns": ["logs-*"], "settings": { "number_of_shards": 3 }, "mappings": { "properties": { "timestamp": { "type": "date" }, "level": { "type": "keyword" }, "message": { "type": "text", "analyzer": "ik_max_word" } } } }3.2 WebSocket服务端实现
javascript
// Node.js WebSocket服务器 const WebSocket = require('ws'); const wss = new WebSocket.Server({ port: 8080 }); wss.on('connection', (ws) => { console.log('New client connected'); // 订阅Elasticsearch日志变更(通过_changes API或轮询模拟) setInterval(() => { // 模拟获取新日志(实际可通过ES的search_after或滚动查询) const newLogs = fetchNewLogsFromES(); ws.send(JSON.stringify(newLogs)); }, 1000); });3.3 前端实时渲染优化
javascript
// Vue.js WebSocket客户端 const socket = new WebSocket('ws://localhost:8080'); socket.onmessage = (event) => { const logs = JSON.parse(event.data); // 使用虚拟滚动列表优化性能(避免DOM爆炸) this.logs.unshift(...logs); // 追加到列表顶部 if (this.logs.length > 1000) this.logs.pop(); // 限制数量 };4. 性能优化与坑点
- ES查询优化:使用
search_after替代from/size,避免深度分页性能问题。 - WebSocket断连重试:前端实现指数退避重连机制。
- 数据压缩:对大文本日志启用Gzip压缩,减少带宽占用。
5. 最终效果
- 实时性:日志从产生到展示延迟 < 1秒
- 吞吐量:单WebSocket连接支持500条/秒日志推送
- 成本:3节点ES集群(4C16G)可支撑日志量100GB/天
6. 扩展思考
- 如何结合Prometheus实现告警阈值动态配置?
- 针对海量日志场景,是否需要引入Kafka作为消息队列?
