文章总结: GrafanaLoki是专为日志聚合设计的轻量级系统,采用索引与存储分离架构,仅索引标签以大幅降低成本。其核心组件包括Promtail、Distributor等,通过LogQL实现高效查询。Loki与Prometheus生态无缝集成,部署简单,适合云原生环境下的监控排错,虽全文检索弱于ELK,但在可观测性与存储成本上优势显著。 综合评分: 85 文章分类: 安全工具,安全运营,安全建设,云安全
挺好用的Grafana Loki 日志采集组件
原创
Titans
骏之安科技知识库
2026年1月8日 06:00 北京
Grafana Loki 是一个专门为日志聚合、存储和查询设计的系统,其核心理念是 “为日志而生的 Prometheus”。它不是一个全文搜索引擎,而是为可观测性和监控场景优化的轻量级日志解决方案。
一、Loki 的设计哲学与特点
- 1. 核心创新:索引与存储分离
-
• 传统日志系统(如 ELK):同时索引日志内容和元数据,存储成本高
-
• Loki 的独特设计:
-
• 只索引日志的标签(labels):类似 Prometheus 的标签系统
-
• 不索引日志内容本身:原始日志内容压缩存储
-
• 结果:存储成本降低 10-100 倍,查询性能依然优秀
- 2. 与 Prometheus 生态无缝集成
- • 使用相同的服务发现和标签系统
- • 查询语言 LogQL 类似 PromQL
- • 与 Grafana 深度集成,可在同一界面查询指标和日志
- 3. 架构轻量简单
- • 组件比 ELK 栈少,更易部署和维护
二、Loki 的核心组件架构
[日志采集 Agent] → [Loki Distributor] → [Ingester] → [存储]
↑ ↑ ↑
(Promtail) (处理/转发日志) (内存处理/分块)
↓
[长期存储]
(对象存储/S3/GCS)
↓
[索引存储]
(BoltDB/Cassandra)
主要组件:
- 1. 采集客户端(Agents)
- • Promtail(官方推荐):专为 Loki 设计,自动发现目标、提取标签
- • Grafana Agent:统一采集指标、日志和链路追踪
- • Fluentd/Fluent Bit:支持 Loki 输出插件
- • Docker Driver:直接使用 Docker 日志驱动
- 2. Loki 服务端组件
- • Distributor:接收日志,验证并分发到 Ingester
- • Ingester:接收日志流,在内存中处理并分块写入存储
- • Query Frontend:查询前端,处理查询请求
- • Querier:执行 LogQL 查询,从存储和 Ingester 获取数据
- • Ruler:基于日志内容生成告警/记录规则
- 3. 存储层
- • 索引存储:存储标签索引(推荐:BoltDB、Cassandra、Bigtable)
- • 块存储:存储压缩的日志内容(推荐:AWS S3、GCS、MinIO)
三、日志采集流程详解
场景 1:使用 Promtail(最常见)
架构:
应用程序日志文件 → Promtail(采集/加标签) → Loki → Grafana 展示
Promtail 配置文件示例:promtail-config.yaml
server:
http_listen_port: 9080
grpc_listen_port: 0
positions:
filename: /tmp/positions.yaml
clients:
- url: http://loki:3100/loki/api/v1/push
scrape_configs:
- job_name: system
static_configs:
- targets:
- localhost
labels:
job: varlogs
__path__: /var/log/*.log
- job_name: docker
docker_sd_configs:
- host: unix:///var/run/docker.sock
refresh_interval: 5s
relabel_configs:
# 添加容器名称作为标签
- source_labels: ['__meta_docker_container_name']
regex: '/(.*)'
target_label: 'container'
# 只采集特定标签的容器日志
- source_labels: ['__meta_docker_container_label_log_enable']
regex: "true"
action: keep
关键特性:
- • 自动发现:支持文件、Docker、Kubernetes 服务发现
- • 流水线阶段:可解析、转换、过滤日志
pipeline_stages:
- regex:
expression: '(?P<ip>\S+) (?P<method>\S+) (?P<path>\S+)'
- labels:
method: # 将解析出的 method 作为标签
- • 多租户支持:通过
X-Scope-OrgID头部实现
场景 2:在 Kubernetes 中采集日志
推荐部署方式: Helm Chart
# 安装 Loki Stack(包含 Loki, Promtail, Grafana)
helm repo add grafana https://grafana.github.io/helm-charts
helm install loki-stack grafana/loki-stack \
--set promtail.enabled=true \
--set loki.persistence.enabled=true
DaemonSet 模式的 Promtail:
- • 每个 Kubernetes 节点运行一个 Promtail Pod
- • 自动采集节点上所有容器的日志
- • 自动添加标签:
pod_name,namespace,container_name,node_name
场景 3:使用 Grafana Agent
统一采集日志、指标、链路:agent-config.yaml
metrics:
wal_directory: /tmp/wal
global:
scrape_interval: 60s
configs:
- name: default
host_filter: false
scrape_configs:
- job_name: loki
static_configs:
- targets: ['localhost:3100']
logs:
positions_directory: /tmp/positions
configs:
- name: default
clients:
- url: http://loki:3100/loki/api/v1/push
scrape_configs:
- job_name: varlogs
static_configs:
- targets: [localhost]
labels:
job: varlogs
__path__: /var/log/*.log
四、日志查询:LogQL 语言
基本查询:
# 查看特定标签的日志
{job="nginx", container="webapp"}
# 过滤日志内容
{job="nginx"} |= "error"
{job="nginx"} |= "error" != "timeout"
# 正则匹配
{job="nginx"} |~ "(?i)error|fail|critical"
# 解析并提取字段
{job="apache"} | logfmt | duration > 10s
{job="nginx"} | regexp "(?P<ip>\\S+) (?P<method>\\S+)" | ip = "192.168.1.1"
度量查询(类似 PromQL):
# 统计错误率
rate({job="app"} |= "error" [5m])
# 统计每个 pod 的日志行数
count_over_time({job="kube-system"}[5m]) by (pod)
# 统计日志大小
sum(rate({job="nginx"}[5m])) by (status_code)
五、与 Grafana 集成展示
- 1. 在 Grafana 中添加 Loki 数据源
设置 → 数据源 → Add data source → 选择 Loki
URL: http://loki:3100
- 2. 在仪表板中查询日志
- • Explore 模式:专门用于交互式日志探索
- • Dashboard 面板:
# 日志面板
{job="nginx"} | logfmt | level = "error"
# 统计图表
sum(rate({job="app"}[5m])) by (level)
- 3. 日志上下文查看
- • 点击任意日志行,可查看该时间点前后的相关日志
- • 实现 “从指标到日志” 的无缝跳转
六、最佳实践与配置优化
- 1. 标签设计策略
# 好标签:基数低,有意义
labels:
- job: "nginx"
- namespace: "production"
- pod: "nginx-abc123"
- level: "error" # 从日志内容中提取
# 避免的标签:基数高
# user_id: "12345" # ❌ 基数太高
# ip: "10.0.0.1" # ❌ 基数太高
- 2. 保留策略
# loki-config.yaml
table_manager:
retention_deletes_enabled: true
retention_period: 720h # 保留30天
- 3. 性能优化
limits_config:
ingestion_rate_mb: 10 # 每个租户摄入速率
ingestion_burst_size_mb: 20
max_label_names_per_series: 30
max_line_size: 256KB
- 4. 存储配置示例
storage_config:
boltdb_shipper:
active_index_directory: /loki/index
cache_location: /loki/cache
aws:
s3: s3://my-bucket/loki
region: us-east-1
七、对比:Loki vs ELK/EFK
| 特性 | Loki | ELK (Elasticsearch) | | — | — | — | | 存储成本 | 极低(只存标签索引) | 高(索引所有内容) | | 部署复杂度 | 简单 | 复杂 | | 查询性能 | 快速(针对标签查询) | 强大(全文搜索) | | 与 Prometheus 集成 | 原生支持 | 需要额外配置 | | 典型存储量 | 1TB 日志 ≈ 15GB 存储 | 1TB 日志 ≈ 1TB+ 存储 | | 最佳场景 | 监控、排错、可观测性 | 安全分析、全文搜索 |
八、快速启动示例(Docker Compose)
version: "3"
services:
loki:
image: grafana/loki:latest
ports:
- "3100:3100"
command: -config.file=/etc/loki/local-config.yaml
promtail:
image: grafana/promtail:latest
volumes:
- /var/log:/var/log
- ./promtail-config.yaml:/etc/promtail/config.yaml
command: -config.file=/etc/promtail/config.yaml
grafana:
image: grafana/grafana:latest
ports:
- "3000:3000"
environment:
- GF_SECURITY_ADMIN_PASSWORD=admin
启动后访问 http://localhost:3000,使用 admin/admin 登录。
总结
Grafana Loki 是一个为云原生监控场景优化的现代日志系统:
- • ✅ 成本极低:存储成本仅为传统方案的 1/10 到 1/100
- • ✅ 与 Prometheus 生态完美融合:相同标签体系,LogQL 类似 PromQL
- • ✅ 运维简单:组件少,配置直观
- • ✅ 查询高效:特别适合按标签筛选和聚合的场景
- • ✅ 统一观测:在 Grafana 中同时查看指标、日志和链路
适用场景:
- • 需要低成本存储大量日志
- • 已经使用 Prometheus + Grafana 监控栈
- • 主要需求是监控排错而非全文搜索
- • 在 Kubernetes 环境中运行
对于需要复杂全文搜索、安全分析或已经有 Elasticsearch 经验的团队,ELK 可能更合适;但对于追求轻量、低成本、与 Prometheus 生态集成的监控场景,Loki 是目前的最佳选择之一。
–END– 觉得不错,可以关注,点赞,转发,如果需要技术援助,可以联系我们,期待您的莅临
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:骏之安科技知识库 Titans《挺好用的Grafana Loki 日志采集组件》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论