2023年7月17日发(作者：)

ELKB⽇志流：⽇志分类思路⽬录0、引⾔⽇志已经可以收集了，那总不能将所有的⽇志都放在⼀个索引下吧？那怎么对⽇志进⾏分类呢？1、分类思路我的分类思路主要是两个层级：⽇志类型、⽇志内容；⽇志类型：即通过不同ES索引存储不同类型的⽇志；⽇志内容：对⽇志内容，根据指定字段进⾏分类；2、⽇志类型分类2.1 系统⽇志Filebeat读取各个服务的.log⽂件进⾏推送;读取不同的⽇志⽂件，增加分类字段，logstash最终保存到ES不同的索引中。⽐如：nginx访问⽇志，mysql错误⽇志，mysql慢查询⽇志；命名⽅式 ：nginx-access-20200101；2.2 业务⽇志业务⽇志也可以分为两类 ： ⾏为⽇志、 错误⽇志；各个应⽤将业务⽇志输出到Redis队列中，logstash最终保存到ES；因为考虑的是，不同业务产⽣的⽇志，对应唯⼀队列，所以没有增加分类字段；3、⽇志内容分类业务⽇志内容输出时，指定⽇志格式，指定字段存储筛选条件配置logstash过滤规则，将信息拆分，在kibana对应筛选过滤；⽐如 ：app业务⾏为⽇志，Redis队列写⼊的内容字符串为；“2020-01-01 12:12:12|⽤户模块|登录操作|joker|⽇志描述xxx”“2020-01-01 12:12:12|订单模块|⽀付操作|joker|⽇志描述xxx”“2020-01-01 12:12:12|商品模块|浏览操作|joker|⽇志描述xxx”4、⽇志字段规划4.1 业务⽇志：⾏为⽇志⽇志名称测试 ： System_Behavior_Log_Date 例如 App_Behavior_Log_20200101;⽇志内容格式 ： xxxx | xxxxx | xxxxx | xxxxx | xxxx字段时间业务描述⽇志创建时间 ： 2020-01-01 12:12:12系统对应业务 ：登录、、修改信息操作⼈字段操作描述操作参数对应系统业务： APP对应⽤户id、平台对应OA账号等描述本次操作描述：简短描述操作，⽅便查看json格式参数：将对应参数以json格式写⼊Redis4.2 业务⽇志：错误⽇志⽇志名称测试 ： System_Error_Log_Date 例如: App_Error_Log_20200101⽇志内容格式 ： xxxx | xxxxx | xxxxx | xxxxx | xxxx字段时间系统业务错误类型（未确定）错误地址错误⽂件错误参数错误描述描述⽇志创建时间 ： 2020-01-01 12:12:12⽇志产⽣系统 ： APP、门户平台等系统对应业务 ：登录、绑定学员、修改信息错误类型标识： Notice、Error发⽣错误地址：/xxx/xxx发⽣错误⽂件：⽂件名及⾏数发⽣错误参数：将对应参数以json格式写⼊Redis本次操作描述：简短描述操作，⽅便查看