结构化日志 - souloss

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

2371 字

7 分钟

结构化日志

2025-07-16

可观测性

/

工程实践

日志是排障的第一手证据。当你凌晨 3 点被叫醒排查问题时，第一件事就是看日志。但如果你的日志是这样的：

1
2026-06-19 03:14:22 ERROR Failed to process request
2
2026-06-19 03:14:22 WARN Retrying...
3
2026-06-19 03:14:23 ERROR Failed again

你几乎无法从中获取任何有用信息——哪个请求失败了？失败的原因是什么？这个请求的 TraceID 是什么？它和其他日志有什么关联？

结构化日志解决的就是这个问题。它让日志从”人类可读的文本”变成”机器可解析的数据”，从而实现快速搜索、高效聚合和跨信号关联。

一、为什么需要结构化日志#

1.1 非结构化日志的困境#

非结构化日志（纯文本日志）有三个根本问题：

问题 1：搜索效率低

1
# 搜索"用户 12345 的订单失败"——需要正则匹配
2
grep "user_id=12345.*order.*failed" /var/log/app.log
3
# 在 TB 级日志中，这可能需要数十分钟

问题 2：无法聚合

1
# 统计各错误码的出现次数——需要复杂的正则和 awk
2
grep "error_code=" /var/log/app.log | \
3
  sed 's/.*error_code=\([^ ]*\).*/\1/' | \
4
  sort | uniq -c | sort -rn

问题 3：无法关联

1
# 找到某个 TraceID 的所有日志——如果日志里没有 TraceID，就做不到
2
grep "trace_id=abc123" /var/log/app.log

1.2 结构化日志的优势#

结构化日志将每条日志表示为一个键值对集合（通常是 JSON），解决了以上三个问题：

1
{
2
  "timestamp": "2026-06-19T03:14:22.456Z",
3
  "level": "ERROR",
4
  "service": "order-service",
5
  "trace_id": "abc123def456",
6
  "span_id": "789ghi012",
7
  "user_id": "12345",
8
  "order_id": "ORD-67890",
9
  "error_code": "DB_CONNECTION_TIMEOUT",
10
  "message": "Failed to process order",
11
  "duration_ms": 5000,
12
  "db_pool_active": 50,
13
  "db_pool_max": 50
14
}

操作	非结构化	结构化
搜索用户 12345 的日志	`grep "12345"` (可能误匹配)	`{user_id="12345"}` (精确匹配)
统计错误码分布	复杂正则 + awk	`count by (error_code)`
关联追踪	不可能（没有 TraceID）	`{trace_id="abc123"}`
聚合延迟分布	不可能	`quantile by (service)`

二、结构化日志的设计原则#

2.1 核心字段设计#

一条好的结构化日志应该包含以下几类字段：

graph TB subgraph 日志字段分类 TIME["⏰ 时间字段 timestamp"] CTX[" 上下文字段 trace_id, span_id, request_id"] SRC[" 来源字段 service, version, host, pod"] BIZ[" 业务字段 user_id, order_id, error_code"] METRIC[" 度量字段 duration_ms, bytes_sent, retry_count"] MSG[" 消息字段 message, stack_trace"] end TIME --> CTX --> SRC --> BIZ --> METRIC --> MSG style TIME fill:#e3f2fd,stroke:#1565c0 style CTX fill:#e8f5e9,stroke:#2e7d32 style SRC fill:#fff3e0,stroke:#e65100 style BIZ fill:#fce4ec,stroke:#880e4f style METRIC fill:#f3e5f5,stroke:#6a1b9a style MSG fill:#efebe9,stroke:#4e342e

类别	字段	说明	示例
时间	`timestamp`	ISO 8601 格式，带时区	`2026-06-19T03:14:22.456Z`
上下文	`trace_id`	分布式追踪 ID	`abc123def456789`
上下文	`span_id`	当前 Span ID	`789ghi012`
上下文	`request_id`	请求唯一 ID	`req-uuid-1234`
来源	`service`	服务名称	`order-service`
来源	`version`	服务版本	`v2.3.1`
来源	`host`	主机名	`pod-order-7b8c9`
业务	`user_id`	用户 ID	`12345`
业务	`order_id`	订单 ID	`ORD-67890`
业务	`error_code`	错误码	`DB_CONNECTION_TIMEOUT`
度量	`duration_ms`	耗时（毫秒）	`5000`
度量	`retry_count`	重试次数	`3`
消息	`message`	人类可读消息	`Failed to process order`
消息	`stack_trace`	异常堆栈	`java.lang.NullPointerException...`

2.2 字段命名约定#

统一的字段命名是日志可搜索的前提。推荐遵循 OpenTelemetry 语义约定（Semantic Conventions）：

1
# 推荐命名（遵循 OTel 语义约定）
2
service.name: order-service
3
service.version: v2.3.1
4
http.method: GET
5
http.status_code: 500
6
http.url: /api/v1/orders/12345
7
db.system: postgresql
8
db.operation: SELECT
9
error.code: DB_CONNECTION_TIMEOUT
10

11
# 不推荐命名（不一致、难搜索）
12
svc: order-service
13
ver: v2.3.1
14
method: GET
15
status: 500
16
url: /api/v1/orders/12345
17
db: pg
18
op: select
19
err: DB_TIMEOUT

Note

OpenTelemetry 语义约定定义了一套标准化的属性名称，覆盖 HTTP、数据库、消息队列等常见场景。使用统一的命名约定可以避免”同一个概念在不同服务中有不同字段名”的问题。详见 OTel Semantic Conventions。

2.3 日志级别策略#

日志级别是控制日志量和成本的第一道防线：

级别	用途	保留策略	典型场景
TRACE	最详细的调试信息	开发环境全量，生产环境关闭	函数入口/出口参数
DEBUG	调试信息	开发环境全量，生产环境按需开启	中间状态、决策分支
INFO	关键业务事件	全量保留（但控制量）	请求处理完成、订单创建
WARN	潜在问题	全量保留	重试成功、降级处理
ERROR	错误事件	全量保留	请求失败、连接超时
FATAL	致命错误	全量保留	服务无法启动、数据损坏

Warning

日志级别膨胀是最常见的反模式。如果 INFO 级别日志量过大，说明你把 DEBUG 级别的信息写到了 INFO。一个经验法则：INFO 级别的日志应该是”业务事件”，而非”技术细节”。例如，“订单创建成功”是 INFO，“进入函数 processOrder”是 DEBUG。

三、关联 ID：日志与追踪的桥梁#

3.1 什么是关联 ID#

关联 ID（Correlation ID）是连接日志、指标、追踪三大信号的关键。最常见的关联 ID 是 TraceID 和 SpanID：

sequenceDiagram participant Client participant Gateway as API Gateway participant Order as Order Service participant DB as Database Client->>Gateway: GET /orders/123 Note right of Gateway: trace_id=abc123 span_id=span1 Gateway->>Order: ProcessOrder(123) Note right of Order: trace_id=abc123 span_id=span2 parent_span_id=span1 Order->>DB: SELECT * FROM orders Note right of DB: trace_id=abc123 span_id=span3 parent_span_id=span2 DB-->>Order: Result Order-->>Gateway: Response Gateway-->>Client: 200 OK

3.2 关联 ID 注入模式#

模式 1：自动注入（推荐）

使用 OTel SDK 自动注入 TraceID 和 SpanID 到日志上下文：

1
// Go: 使用 OTel SDK 自动注入
2
import (
3
    "go.opentelemetry.io/otel"
4
    "go.opentelemetry.io/otel/trace"
5
    "log/slog"
6
)
7

8
func setupLogger() *slog.Logger {
9
    handler := slog.NewJSONHandler(os.Stdout, &slog.HandlerOptions{
10
        Level: slog.LevelInfo,
11
    })
12

13
    // 包装 handler，自动注入 TraceID 和 SpanID
14
    return slog.New(otelHandler{handler})
15
}
16

17
type otelHandler struct {
18
    inner slog.Handler
19
}
20

21
func (h otelHandler) Handle(ctx context.Context, r slog.Record) error {
22
    span := trace.SpanFromContext(ctx)
23
    if span.SpanContext().IsValid() {
24
        r.AddAttrs(
25
            slog.String("trace_id", span.SpanContext().TraceID().String()),
26
            slog.String("span_id", span.SpanContext().SpanID().String()),
27
        )
28
    }
29
    return h.inner.Handle(ctx, r)
30
}

模式 2：手动注入

在无法使用 OTel SDK 的场景下，手动传递和注入关联 ID：

1
# Python: 手动注入关联 ID
2
import logging
3
import json
4
from contextvars import ContextVar
5

6
trace_id_var: ContextVar[str] = ContextVar('trace_id', default='')
7
span_id_var: ContextVar[str] = ContextVar('span_id', default='')
8

9
class StructuredFormatter(logging.Formatter):
10
    def format(self, record):
11
        log_entry = {
12
            'timestamp': self.formatTime(record),
13
            'level': record.levelname,
14
            'message': record.getMessage(),
15
            'service': 'order-service',
16
            'trace_id': trace_id_var.get(''),
17
            'span_id': span_id_var.get(''),
18
        }
19
        if hasattr(record, 'props'):
20
            log_entry.update(record.props)
21
        if record.exc_info:
22
            log_entry['stack_trace'] = self.formatException(record.exc_info)
23
        return json.dumps(log_entry)
24

25
# 使用
26
def handle_request(request):
27
    trace_id_var.set(request.headers.get('traceparent', '').split('-')[1] if 'traceparent' in request.headers else '')
28
    logger.info("Processing request", extra={
29
        'props': {
30
            'user_id': request.user_id,
31
            'order_id': request.order_id,
32
        }
33
    })

模式 3：中间件注入

在 HTTP 中间件层统一注入关联 ID：

1
// Java: Spring Boot 中间件注入
2
@Component
3
public class TraceIdFilter implements Filter {
4

5
    @Override
6
    public void doFilter(ServletRequest request, ServletResponse response,
7
                         FilterChain chain) throws IOException, ServletException {
8
        HttpServletRequest httpRequest = (HttpServletRequest) request;
9

10
        // 从 W3C TraceContext 头部提取 TraceID
11
        String traceparent = httpRequest.getHeader("traceparent");
12
        String traceId = extractTraceId(traceparent);
13

14
        // 注入到 MDC（Mapped Diagnostic Context）
15
        MDC.put("trace_id", traceId);
16
        MDC.put("span_id", UUID.randomUUID().toString().replace("-", "").substring(0, 16));
17

18
        try {
19
            chain.doFilter(request, response);
20
        } finally {
21
            MDC.clear();
22
        }
23
    }
24

25
    // logback.xml 配置
26
    // <pattern>{"timestamp":"%d","level":"%-5level","trace_id":"%X{trace_id}","span_id":"%X{span_id}","message":"%msg"}%n</pattern>
27
}

3.3 关联 ID 传播#

关联 ID 需要在服务间传播。W3C TraceContext 是当前的标准传播格式：

1
traceparent: 00-abc123def45678901234567890123456-789ghi01234567890-01
2
              │  │                       │                │         │
3
              │  │                       │                │         └─ 采样标志
4
              │  │                       │                └─ 父 Span ID
5
              │  │                       └─ Trace ID (32 hex)
6
              │  └─ 版本号
7
              └─ 格式前缀

在第 4 章：分布式追踪中详细讨论 W3C TraceContext 的传播机制。

四、日志框架对比与选型#

4.1 各语言主流日志框架#

语言	框架	结构化支持	OTel 集成	性能
Go	`slog`	原生 JSON	官方桥接	高
Go	`zap`	原生 JSON	社区桥接	极高
Go	`zerolog`	原生 JSON	社区桥接	极高
Java	`Logback`	JSON encoder	OTel appenders	中
Java	`Log4j2`	JSON layout	OTel appenders	高
Python	`structlog`	原生 JSON	社区桥接	中
Python	`logging` + JSON	需要 formatter	需要手动	中
Node.js	`pino`	原生 JSON	社区桥接	极高
Node.js	`winston`	JSON format	需要手动	中
Rust	`tracing`	原生 JSON	社区桥接	极高

4.2 Go slog 实战#

Go 1.21 引入的 slog 是当前 Go 生态中最推荐的日志框架：

1
package main
2

3
import (
4
    "context"
5
    "log/slog"
6
    "os"
7
    "time"
8
    "go.opentelemetry.io/otel/trace"
9
)
10

11
// 自定义 Handler，自动注入 OTel 上下文
12
type OTelHandler struct {
13
    inner slog.Handler
14
}
15

16
func (h OTelHandler) Enabled(ctx context.Context, level slog.Level) bool {
17
    return h.inner.Enabled(ctx, level)
18
}
19

20
func (h OTelHandler) Handle(ctx context.Context, r slog.Record) error {
21
    // 自动注入 TraceID 和 SpanID
22
    span := trace.SpanFromContext(ctx)
23
    if span.SpanContext().IsValid() {
24
        r.AddAttrs(
25
            slog.String("trace_id", span.SpanContext().TraceID().String()),
26
            slog.String("span_id", span.SpanContext().SpanID().String()),
27
        )
28
    }
29
    return h.inner.Handle(ctx, r)
30
}
31

32
func (h OTelHandler) WithAttrs(attrs []slog.Attr) slog.Handler {
33
    return OTelHandler{inner: h.inner.WithAttrs(attrs)}
34
}
35

36
func (h OTelHandler) WithGroup(name string) slog.Handler {
37
    return OTelHandler{inner: h.inner.WithGroup(name)}
38
}
39

40
func main() {
41
    // 创建结构化日志器
42
    baseHandler := slog.NewJSONHandler(os.Stdout, &slog.HandlerOptions{
43
        Level: slog.LevelInfo,
44
    })
45
    logger := slog.New(OTelHandler{inner: baseHandler})
46

47
    // 设置全局默认日志器
48
    slog.SetDefault(logger)
49

50
    // 使用
51
    slog.Info("Order processed",
52
        slog.String("order_id", "ORD-12345"),
53
        slog.String("user_id", "user-67890"),
54
        slog.Duration("duration", 150*time.Millisecond),
55
        slog.Int("items_count", 3),
56
    )
57
}

输出：

1
{
2
  "time": "2026-06-19T03:14:22.456Z",
3
  "level": "INFO",
4
  "msg": "Order processed",
5
  "trace_id": "abc123def45678901234567890123456",
6
  "span_id": "789ghi01234567890",
7
  "order_id": "ORD-12345",
8
  "user_id": "user-67890",
9
  "duration": 150000000,
10
  "items_count": 3
11
}

4.3 Node.js pino 实战#

1
const pino = require('pino');
2

3
const logger = pino({
4
  level: process.env.LOG_LEVEL || 'info',
5
  formatters: {
6
    level: (label) => ({ level: label }),
7
  },
8
  // 默认字段
9
  base: {
10
    service: 'order-service',
11
    version: process.env.SERVICE_VERSION || 'unknown',
12
  },
13
  // 时间戳格式
14
  timestamp: pino.stdTimeFunctions.isoTime,
15
});
16

17
// OTel 上下文注入中间件
18
function injectTraceContext(logger, context) {
19
  const activeSpan = context?.activeSpan;
20
  if (activeSpan) {
21
    const spanContext = activeSpan.spanContext();
22
    return logger.child({
23
      trace_id: spanContext.traceId,
24
      span_id: spanContext.spanId,
25
    });
26
  }
27
  return logger;
28
}
29

30
// 使用
31
const reqLogger = injectTraceContext(logger, otelContext);
32
reqLogger.info({ order_id: 'ORD-12345', user_id: 'user-67890', duration_ms: 150 }, 'Order processed');

五、日志采集与聚合#

5.1 日志采集架构#

graph LR subgraph 应用[" 应用服务"] A1["Service A slog/pino"] A2["Service B structlog"] A3["Service C Logback"] end subgraph 采集[" 采集层"] OTEL["OTel Collector OTLP Receiver"] FLUENT["Fluent Bit 文件采集"] end subgraph 存储[" 存储层"] LOKI["Loki"] ES["Elasticsearch"] end subgraph 查询[" 查询层"] GRAFANA["Grafana"] KIBANA["Kibana"] end A1 -->|"OTLP"| OTEL A2 -->|"OTLP"| OTEL A3 -->|"文件"| FLUENT OTEL --> LOKI FLUENT --> LOKI FLUENT --> ES LOKI --> GRAFANA ES --> KIBANA style 应用 fill:#e8eaf6,stroke:#283593 style 采集 fill:#e0f2f1,stroke:#00695c style 存储 fill:#fff3e0,stroke:#e65100 style 查询 fill:#e8f5e9,stroke:#2e7d32

5.2 两种采集模式对比#

模式	推送式（Push）	拉取式（Pull）
原理	应用主动推送日志到 Collector	Agent 定期读取日志文件
代表	OTel SDK → OTel Collector	Fluent Bit → 文件
优点	实时性好、无需文件 I/O	与应用解耦、支持遗留系统
缺点	需要修改应用代码	有延迟、需要管理日志文件轮转
推荐	新服务	遗留服务

5.3 Loki 日志聚合#

Loki 是 Grafana 生态的日志聚合系统，采用”仅索引元数据”的设计，成本远低于 Elasticsearch：

1
# Loki 配置
2
auth_enabled: false
3

4
server:
5
  http_listen_port: 3100
6

7
common:
8
  path_prefix: /loki
9
  storage:
10
    filesystem:
11
      chunks_directory: /loki/chunks
12
      rules_directory: /loki/rules
13
  replication_factor: 1
14

15
schema_config:
16
  configs:
17
    - from: 2024-01-01
18
      store: tsdb
19
      object_store: filesystem
20
      schema: v13
21
      index:
22
        prefix: loki_index_
23
        period: 24h
24

25
limits_config:
26
  # 查询限制
27
  max_query_length: 721h
28
  max_query_parallelism: 32
29
  # 写入限制
30
  ingestion_rate_mb: 20
31
  ingestion_burst_size_mb: 30
32
  # 保留期
33
  retention_period: 744h  # 31 天

5.4 LogQL 查询语言#

Loki 使用 LogQL 查询日志，语法类似 Prometheus 的 PromQL：

1
# 基础查询：查找 order-service 的 ERROR 日志
2
{service="order-service"} |= "ERROR"
3

4
# 结构化查询：查找特定用户的所有日志
5
{service="order-service"} | json | user_id="12345"
6

7
# 追踪关联：查找某个 TraceID 的所有日志
8
{service="order-service"} | json | trace_id="abc123def456"
9

10
# 聚合查询：统计各错误码的出现次数
11
sum(count_over_time({service="order-service"} | json | level="ERROR" [5m])) by (error_code)
12

13
# 延迟分析：P99 延迟趋势
14
quantile_over_time(0.99, {service="order-service"} | json | unwrap duration_ms [5m]) by (endpoint)

六、日志成本控制#

6.1 日志成本模型#

日志是可观测性中成本最高的信号。理解成本模型是控制成本的前提：

成本项	占比	说明
存储	40-50%	日志数据量最大
索引	20-30%	Elasticsearch 的倒排索引开销
网络	10-15%	日志传输带宽
计算	10-15%	日志解析和聚合
人力	5-10%	日志运维和治理

6.2 降本策略#

策略 1：日志分级保留

1
# 不同级别的保留策略
2
retention:
3
  fatal: 90d    # 致命错误保留 90 天
4
  error: 30d    # 错误保留 30 天
5
  warn: 14d     # 警告保留 14 天
6
  info: 7d      # 信息保留 7 天
7
  debug: 1d     # 调试保留 1 天

策略 2：采样

1
// 采样策略：INFO 级别采样 10%，ERROR 级别全量
2
func shouldLog(level slog.Level) bool {
3
    switch level {
4
    case slog.LevelError, slog.LevelWarn:
5
        return true
6
    case slog.LevelInfo:
7
        return rand.Float64() < 0.1  // 10% 采样
8
    default:
9
        return false
10
    }
11
}

策略 3：字段裁剪

1
# 裁剪高基数字段
2
fields_to_drop:
3
  - request_body    # 请求体太大
4
  - response_body   # 响应体太大
5
  - session_token   # 敏感信息
6
  - x_forwarded_for # 高基数 IP 地址

策略 4：Loki vs Elasticsearch 选型

维度	Loki	Elasticsearch
存储成本	低（仅索引标签）	高（全文索引）
搜索灵活性	中（LogQL）	高（Lucene）
全文搜索	慢（需要扫描）	快（倒排索引）
结构化搜索	快（标签索引）	快
适用场景	结构化日志 + 追踪关联	全文搜索 + 日志分析

Warning

不要把所有日志都发到 Elasticsearch。对于结构化日志，Loki 的成本通常是 Elasticsearch 的 1/5 到 1/10。只有在需要全文搜索的场景（如非结构化日志分析）时才使用 Elasticsearch。

七、日志最佳实践#

7.1 十条黄金法则#

法则	说明	反模式
1. 结构化一切	所有日志都是 JSON	`fmt.Println("something happened")`
2. 注入关联 ID	每条日志都有 trace_id	日志里没有追踪信息
3. 使用语义约定	遵循 OTel 属性命名	每个服务用不同的字段名
4. 控制日志级别	INFO 是业务事件	INFO 日志量 > ERROR 日志量
5. 避免敏感信息	不记录密码、Token	`password=abc123`
6. 记录度量字段	duration_ms, bytes_sent	只有消息没有数值
7. 限制消息长度	消息 < 200 字符	把整个 JSON 响应写入消息
8. 使用上下文日志	logger.With() 附加上下文	每条日志都重复写 service 名
9. 异步写入	不阻塞业务线程	直接写文件
10. 测试日志	验证日志格式和字段	从不检查日志输出

7.2 上下文日志模式#

上下文日志（Contextual Logging）让日志自动携带上下文信息，避免重复：

1
// 反模式：每条日志都重复写上下文
2
slog.Info("Processing order",
3
    slog.String("service", "order-service"),
4
    slog.String("order_id", orderID),
5
    slog.String("user_id", userID),
6
)
7
slog.Error("Database timeout",
8
    slog.String("service", "order-service"),
9
    slog.String("order_id", orderID),
10
    slog.String("user_id", userID),
11
)
12

13
// 最佳实践：使用上下文日志
14
orderLogger := slog.With(
15
    slog.String("service", "order-service"),
16
    slog.String("order_id", orderID),
17
    slog.String("user_id", userID),
18
)
19
orderLogger.Info("Processing order")
20
orderLogger.Error("Database timeout", slog.String("db_host", dbHost))

7.3 错误日志模板#

1
// 标准错误日志模板
2
func logError(ctx context.Context, err error, msg string, attrs ...slog.Attr) {
3
    span := trace.SpanFromContext(ctx)
4

5
    logger := slog.With(
6
        slog.String("trace_id", span.SpanContext().TraceID().String()),
7
        slog.String("span_id", span.SpanContext().SpanID().String()),
8
        slog.String("error_type", fmt.Sprintf("%T", err)),
9
        slog.String("error_message", err.Error()),
10
    )
11

12
    // 如果有堆栈信息
13
    var stackErr interface{ StackTrace() errors.StackTrace }
14
    if errors.As(err, &stackErr) {
15
        logger = logger.With(slog.String("stack_trace", fmt.Sprintf("%+v", stackErr.StackTrace())))
16
    }
17

18
    logger.Error(msg, attrs...)
19
}

八、动手实践：搭建结构化日志系统#

8.1 部署 Loki#

1
# 使用 Docker Compose 启动 Loki
2
docker compose up -d loki
3

4
# 验证 Loki 运行
5
curl http://localhost:3100/ready

8.2 发送结构化日志#

1
# 通过 OTel Collector 发送日志
2
curl -X POST http://localhost:4318/v1/logs \
3
  -H "Content-Type: application/json" \
4
  -d '{
5
    "resourceLogs": [{
6
      "resource": {
7
        "attributes": [
8
          {"key": "service.name", "value": {"stringValue": "demo-api"}},
9
          {"key": "service.version", "value": {"stringValue": "1.0.0"}}
10
        ]
11
      },
12
      "scopeLogs": [{
13
        "scope": {"name": "io.opentelemetry.sdk.log"},
14
        "logRecords": [{
15
          "timeUnixNano": "1700000000000000000",
16
          "severityNumber": 17,
17
          "severityText": "ERROR",
18
          "body": {"stringValue": "Database connection timeout"},
19
          "attributes": [
20
            {"key": "trace_id", "value": {"stringValue": "abc123def45678901234567890123456"}},
21
            {"key": "span_id", "value": {"stringValue": "789ghi01234567890"}},
22
            {"key": "error_code", "value": {"stringValue": "DB_CONNECTION_TIMEOUT"}},
23
            {"key": "duration_ms", "value": {"intValue": "5000"}}
24
          ]
25
        }]
26
      }]
27
    }]
28
  }'

8.3 在 Grafana 中查询#

1
# 打开 Grafana Explore
2
open http://localhost:3000/explore
3

4
# LogQL 查询示例
5
# 1. 查找所有 ERROR 日志
6
{service="demo-api"} | json | level="ERROR"
7

8
# 2. 按 TraceID 关联查询
9
{service="demo-api"} | json | trace_id="abc123def45678901234567890123456"
10

11
# 3. 统计错误码分布
12
sum(count_over_time({service="demo-api"} | json | level="ERROR" [1h])) by (error_code)

8.4 验证清单#

检查项	验证方式	预期结果
Loki 接收日志	Grafana Explore 查询	能看到日志
结构化字段可搜索	`{service="demo-api"} \| json \| error_code="DB_CONNECTION_TIMEOUT"`	精确匹配
TraceID 关联	按 trace_id 过滤	找到关联的追踪
日志级别过滤	`level="ERROR"`	只返回错误日志

flowchart LR APP["应用输出 结构化日志"] --> AGENT["日志 Agent Filebeat/Fluentd"] --> BUF["缓冲队列 Kafka/Redis"] BUF --> INDEX["索引引擎 Elasticsearch"] --> QUERY["查询/分析 Kibana"] APP -.->|"直接推送"| INDEX style APP fill:#bbdefb,stroke:#1565c0 style INDEX fill:#c8e6c9,stroke:#2e7d32

九、本章小结#

上一章建立了可观测性全景与三大信号的认知框架。可观测性的第一个信号——结构化日志的要点基本都在这里了。

主题	核心要点	关键词
结构化日志	将日志从纯文本变成 JSON，实现精确搜索、高效聚合和跨信号关联。	结构化日志
关联 ID	TraceID 和 SpanID 是连接日志与追踪的桥梁，应该自动注入每条日志。	关联 ID
日志级别策略	ERROR 全量保留，INFO 控制量，DEBUG 按需开启。	日志级别策略
框架选型	Go 用 slog、Python 用 structlog、Node.js 用 pino——都支持结构化和 OTel 集成。	框架选型
成本控制	日志是可观测性最贵的信号，分级保留 + 采样 + 字段裁剪是降本三大法宝。	成本控制
Loki	仅索引元数据的设计让成本远低于 Elasticsearch，适合结构化日志场景。	Loki