Loki - 日志聚合 配置与优化

发布时间:2026-05-02 18:02

一、前言

想象一下，半夜2点告警来了，你登录服务器翻日志，发现日志在3台机器上散着，grep一下要等半分钟。就在你焦头烂额的时候，老板在群里问"问题定位到哪了"。这就是我当年为什么死磕Loki的原因——它轻量、快速、能和Prometheus生态无缝集成，比ELK省太多资源。干了这些年，Loki从0.x升级到2.x踩过的坑，今天全抖出来。

二、操作步骤

步骤1：理解Loki架构，选对部署模式

Loki和Elasticsearch完全不同，它不索引日志内容本身，只索引标签。这就是它省资源的原因。核心组件有三个： ``` ┌─────────────────────────────────────────────────────────┐ │ Distributor ──> Ingester ──> Compactor │ │ │ │ │ └─> Query Frontend ──> Querier │ └─────────────────────────────────────────────────────────┘ Distributor：接收日志，验证，分发到Ingester Ingester：接收写入，整理成chunks存储 Querier：处理查询请求 Query Frontend：查询队列和缓存（可选） Compactor：压缩和保留管理 ``` 生产环境建议至少2个Querier节点，Ingester要3个以上防数据丢失。单机测试可以用All-in-one模式。

步骤2：Docker快速部署测试环境

先跑起来看看效果，用Docker Compose最简单： ```bash # 创建工作目录 mkdir -p loki-test && cd loki-test cat > docker-compose.yml << 'EOF' version: "3.8" services: loki: image: grafana/loki:2.9.2 container_name: loki ports: - "3100:3100" command: -config.file=/etc/loki/local-config.yaml volumes: - ./loki-config.yaml:/etc/loki/local-config.yaml - ./data:/data restart: unless-stopped promtail: image: grafana/promtail:2.9.2 container_name: promtail volumes: - /var/log:/var/log - ./promtail-config.yaml:/etc/promtail/promtail.yaml command: -config.file=/etc/promtail/promtail.yaml depends_on: - loki grafana: image: grafana/grafana:10.2.0 container_name: grafana ports: - "3000:3000" environment: - GF_SECURITY_ADMIN_PASSWORD=YOUR_GRAFANA_PASSWORD volumes: - grafana-data:/var/lib/grafana depends_on: - loki volumes: grafana-data: EOF ``` 预期输出： ``` Creating network "loki-test_default" with the default driver Creating loki ... done Creating promtail ... done Creating grafana ... done ```

步骤3：配置Loki基础参数

创建Loki配置文件： ```bash cat > loki-config.yaml << 'EOF' auth_enabled: false server: http_listen_port: 3100 ingester: lifecycler: address: 127.0.0.1 ring: kvstore: store: inmemory replication_factor: 1 final_sleep: 0s chunk_idle_period: 5m chunk_retain_period: 30s max_transfer_retries: 0 schema_config: stores: - layer: boltdb-shipper object_store: filesystem schema: v11 index: period: 24h prefix: loki_index_ configs: - from: 2023-01-01 store: boltdb-shipper object_store: filesystem schema: v11 index: period: 24h prefix: loki_index_ storage_config: boltdb_shipper: active_index_directory: /data/index cache_location: /data/index_cache shared_store: filesystem filesystem: directory: /data/chunks limits_config: reject_old_samples: true reject_old_samples_max_age: 168h compactor: working_directory: /data/compactor shared_store: filesystem EOF ``` 启动后检查日志： ```bash docker logs loki --tail 20 ``` 预期输出： ``` level=info ts=2024-01-15T10:30:45.123Z caller=main.go:47 msg="Starting Loki" version=2.9.2 level=info ts=2024-01-15T10:30:45.456Z caller=server.go:260 http=3100 grpc=9095 level=info ts=2024-01-15T10:30:45.789Z caller=modules.go:1234 target=all msg="Starting module" module=query-frontend level=info ts=2024-01-15T10:30:46.000Z caller=loki.go:45 msg="Loki started" ``` 看到"Loki started"说明启动成功。如果看到"connection refused"之类的错误，检查3100端口是否被占用： ```bash netstat -tlnp | grep 3100 ```

步骤4：配置Promtail收集日志

Promtail是Loki的日志收集端，配置灵活性很强： ```bash cat > promtail-config.yaml << 'EOF' server: http_listen_port: 9080 grpc_listen_port: 0 positions: filename: /var/log/positions.yaml clients: - url: http://loki:3100/loki/api/v1/push scrape_configs: # 收集Docker日志 - job_name: docker docker_targets: - localhost:9323 relabel_configs: - source_labels: ['__meta_docker_container_name'] regex: '(.*)' target_label: container # 收集系统日志（Ubuntu/Debian） - job_name: system static_configs: - targets: - localhost labels: job: system env: prod __path__: /var/log/syslog # 收集Nginx日志 - job_name: nginx static_configs: - targets: - localhost labels: job: nginx __path__: /var/log/nginx/*.log pipeline_stages: - regex: expression: '^(?P\S+) (?P\S+) (?P\S+) \[(?P.*)\] "(?P.*)" (?P\d+) (?P\d+)' - labels: status: status # 收集应用日志（CentOS/RHEL路径） - job_name: app static_configs: - targets: - localhost labels: job: myapp env: prod # CentOS/RHEL应用日志路径 __path__: /var/log/myapp/*.log # 日志重命名规则 scrape_configs: - job_name: renamed-logs pipeline_stages: - json: expressions: level: level msg: msg - labels: level: level static_configs: - targets: - localhost labels: __path__: /var/log/app/*.log EOF ``` 启动Promtail： ```bash docker-compose up -d promtail docker logs promtail --tail 30 ``` 预期输出： ``` level=info ts=2024-01-15T10:35:22.123Z caller=promtail.go:123 msg="Promtail started" level=info ts=2024-01-15T10:35:22.456Z caller=file.go:456 target=nginx count=3 positions=updated level=warn ts=2024-01-15T10:35:23.000Z caller=client.go:89 msg="error sending logs" error="connection refused" retries=1 ``` 注意最后那行warn是正常的，首次启动会有短暂重试。如果持续出现"connection refused"，检查Loki容器是否正常运行。

步骤5：验证日志收集效果

用LogCLI工具查询验证，这个是Loki官方CLI： ```bash # 安装logcli（Ubuntu/Debian） apt update && apt install -y apt-transport-https curl -s https://packages.grafana.com/gpg.key | apt-key add - echo "deb https://packages.grafana.com/oss/deb stable main" > /etc/apt/sources.list.d/grafana.list apt update && apt install -y logcli # CentOS/RHEL安装 yum install -y https://grafana.com/rpm/logcli/latest ``` 安装完成后验证日志是否入库： ```bash export LOKI_ADDR=http://localhost:3100 # 查询最近15分钟的Nginx日志 logcli query '{job="nginx"}' --since=15m ``` 预期输出： ``` http://localhost:3100/loki/api/v1/query_range?end=2024-01-15T10:50:00Z&limit=100&query=%7Bjob%3D%22nginx%22%7D Common labels: {job="nginx"} 2024-01-15T10:45:23.456Z 10.0.0.1 - - [15/Jan/2024:10:45:23 +0000] "GET /api/health HTTP/1.1" 200 1234 "-" "curl/7.68.0" "-" nginx-access 2024-01-15T10:45:24.789Z 10.0.0.2 - - [15/Jan/2024:10:45:24 +0000] "POST /api/login HTTP/1.1" 401 567 "-" "PostmanRuntime/7.32.0" "-" nginx-access 2024-01-15T10:45:25.123Z 10.0.0.3 - - [15/Jan/2024:10:45:25 +0000] "GET /index.html HTTP/1.1" 304 0 "-" "Mozilla/5.0" "-" nginx-access ``` 能看到日志内容说明整个链路通了。如果没输出，等30秒再试，Ingester有写入延迟。

步骤6：接入Grafana配置看板

浏览器打开 http://localhost:3000 登录（默认admin/admin，第一次会要求改密码）。 配置数据源： 1. 点击左侧齿轮图标 → Data Sources 2. 点击 "Add data source" 3. 选择 "Loki" 4. URL填写 http://loki:3100（Docker网络内用容器名） 5. 点击 "Save & test" 预期输出： ``` Success Data source connected, labels indexed: 15 ``` 创建查询面板： 1. 点击左侧加号 → Dashboard 2. 点击 "Add new panel" 3. 选择数据源为Loki 4. 在Log browser输入 `{job="nginx"} | json | status >= 500` 5. 设置时间范围为最近15分钟 6. 点击右上角 "Apply" 这会显示最近15分钟内所有nginx 5xx错误日志。| json是Loki的日志解析语法，可以提取字段做过滤和聚合。

步骤7：生产环境Helm部署

测试环境验证OK，现在上生产。Kubernetes环境用Helm： ```bash # 添加Helm仓库 helm repo add grafana https://grafana.github.io/helm-charts helm repo update # 生产配置（至少3节点） cat > loki-values.yaml << 'EOF' replicaCount: 2 image: repository: grafana/loki tag: 2.9.2 config: schema_config: configs: - from: 2023-01-01 store: boltdb-shipper object_store: s3 schema: v11 index: period: 24h prefix: loki_index_ storage_config: boltdb_shipper: shared_store: s3 aws: bucketnames: your-bucket-name region: us-east-1 # 单节点模式，生产不要用 singleBinary: replicas: 1 # 写入限制 limits_config: reject_old_samples: true reject_old_samples_max_age: 168h ingestion_rate_mb: 50 ingestion_burst_size_mb: 100 # 告警规则 alerting: enabled: true # 保留策略（30天） persistence: enabled: true size: 50Gi # 资源限制 resources: limits: cpu: "2" memory: 4Gi requests: cpu: "500m" memory: 1Gi # 亲和性配置（生产必须设置） affinity: | podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - loki topologyKey: kubernetes.io/hostname EOF # 部署 kubectl create namespace loki helm install loki grafana/loki -n loki -f loki-values.yaml # 检查部署状态 kubectl get pods -n loki ``` 预期输出： ``` NAME READY STATUS RESTARTS AGE loki-0 2/2 Running 0 2m loki-1 2/2 Running 0 1m loki-compactor-0 1/1 Running 0 1m ``` 如果Pod一直是Pending，检查是否有足够存储，或者调整storageClass。 ```bash # 查看为什么Pending kubectl describe pod loki-0 -n loki | tail -20 # 如果是存储问题，调整PVC大小 kubectl patch pvc data-loki-0 -n loki -p '{"spec":{"resources":{"requests":{"storage":"100Gi"}}}}' ```

步骤8：性能调优与问题排查

生产跑一段时间后，常见问题就来了： **问题1：查询超时** ```bash # 监控查询延迟 logcli metrics '{job="nginx"}' --since=1h # 如果P99延迟超过3秒，添加Querier副本 kubectl scale statefulset loki-querier -n loki --replicas=3 # 或者启用Query Frontend缓存 kubectl patch configmap loki-config -n loki -p '{"data":{"limits_config":"\n query_timeout: 2m\n split_queries_by_interval: 15m\n"}}' ``` **问题2：磁盘使用飙升** Loki的chunks会不断生成，需要定期清理： ```bash # 查看磁盘使用分布 du -sh /data/* # 配置Compactor自动清理（保留30天） cat >> loki-config.yaml << 'EOF' compactor: working_directory: /data/compactor shared_store: filesystem retention_enabled: true limits_config: retention_period: 720h # 30天 EOF # 重启Loki应用配置 docker restart loki ``` ⚠️ 警告：删除数据前务必确认备份策略正常，数据丢了就没了。 **问题3：写入速率下降** ```bash # 检查Ingester状态 curl -s localhost:3100/ingester/shutdown # 如果发现热点Pod，查看资源使用 kubectl top pods -n loki # 调整写入并发 kubectl patch statefulset loki -n loki -p '{"spec":{"template":{"spec":{"containers":[{"name":"loki","env":[{"name":"MAX_STREAMS_PER_USER","value":"10000"}]}]}}}}' ```

三、常见问题FAQ

Q1：日志量大了查询很慢，怎么优化？

查询慢分几种情况。第一看是不是缺少标签过滤，直接查`{app="nginx"}`比查`{app=~".*"}`快10倍以上。第二检查是否需要建分片索引，Loki支持添加label matcher比如`{app="nginx", status="500"}`直接过滤。第三考虑增加Querier副本数，水平扩展查询能力。第四如果Grafana里查询卡，可以在Loki前面加Nginx做缓存，配置proxy_cache_path。 生产环境建议每个应用单独打标签，保留时间超过7天的话建分区索引。我见过有人把Loki当Elasticsearch用，全量日志检索，那肯定慢，Loki设计就是让你带着条件查询的。

Q2：Loki和Elasticsearch怎么选？

看场景。日志量大、全文检索需求强、预算充足，用Elasticsearch。日志量中等、只需要结构化查询、和Prometheus一起用、服务器资源有限，用Loki。 Loki的优势是资源消耗低，同样的日志量Loki用的存储是ES的1/5到1/10，内存更是只有ES的零头。ES的倒排索引对日志来说太重了，你又不会真的拿日志做全文搜索。 有个判断标准：如果你日志里超过80%的查询都是`{job="xxx", status="500"}`这种带标签条件的，Loki完全够用。如果你的日志有大量中文字段要做模糊匹配，那还是ES吧。

Q3：Promtail漏日志怎么办？

Promtail丢日志一般是两个原因：写入速率超过Loki承载能力，或者Promtail资源被打满了。 先检查Promtail日志： ```bash docker logs promtail 2>&1 | grep -E "(error|warn|dropped)" ``` 看到"client exceeds rate limit"说明Loki限流了，调大limits_config里的ingestion_rate_mb。看到"failed to send batch"说明网络问题，检查Loki是否正常。 Promtail本身性能调优： ```bash # 增加读取并发 cat > promtail-config.yaml << 'EOF' server: http_listen_port: 9080 client: url: http://loki:3100/loki/api/v1/push batch_wait: 5s batch_size: 102400 stream_labels: __hostname__: ${HOSTNAME} positions: filename: /var/log/positions.yaml scrape_configs: # 保持原有配置 EOF ``` stream_labels那行可以减少写入请求数。另外Promtail 2.x支持多线程，默认只用单核，大流量场景下性能不够。生产环境建议Promtail和Loki分机部署，Promtail可以横向扩展。

Q4：如何监控Loki自身健康状态？

Loki暴露了完整的metrics接口，Prometheus抓就行： ```bash curl -s localhost:3100/metrics | head -50 ``` 关键指标： - `loki_ingester_chunks_created_total` - chunks创建速率 - `loki_distributor_bytes_received_total` - 写入流量 - `loki_queryFrontend_queue_length` - 查询队列长度 - `loki_chunk_store_chunks_downloaded_total` - 读取次数 配合Grafana官方的Loki dashboard，导入ID 13407，能看到完整的健康状态。如果发现某个Querier的请求延迟明显高于其他节点，可能是负载不均，检查一下查询的label基数。

四、总结

Loki不是什么日志问题的银弹，它的定位很明确：高吞吐量、低资源消耗的日志聚合，配合Prometheus用最香。选型之前先问自己：真的需要全文检索吗？日志量有多大？服务器资源够不够？ 核心配置点就这几个： - 标签设计要精确，避免大范围扫描 - retention根据业务需求设置，别一味贪大 - Querier副本数根据查询负载调整 - 和Prometheus共用时记得统一label命名规范 延伸阅读： - Loki官方文档：https://grafana.com/docs/loki/latest/ - Promtail配置大全：https://grafana.com/docs/loki/latest/clients/promtail/ - Grafana Loki Dashboard模板：https://grafana.com/grafana/dashboards/13407 - 日志标签设计最佳实践：https://grafana.com/blog/2023/01/18/how-to-design-labels-for-loki/

上一篇： Python - Python高级应用 新手入门教程

下一篇： Let's Encrypt - LetsEncrypt常见问题汇总