一句话答案

ELK：Elasticsearch（存储搜索）+ Logstash（收集转换）+ Kibana（可视化），Filebeat 替代 Logstash 做轻量采集。

核心要点

架构： 应用日志 → Filebeat(采集) → Logstash(解析/转换) → Elasticsearch(存储/索引) → Kibana(查询/可视化)

优化： Filebeat 替代 Logstash 采集(更轻) / Kafka 做缓冲(削峰) / ES 索引按天分割

追问与易错

追问方向：

• 日志量很大怎么处理？
• ELK 和 Loki 区别？
• 怎么做日志告警？

易错点：

• ❌ 所有日志都要采集——按级别采集
• ❌ ELK 很重不推荐——是大规模微服务标配

💡 记忆锚点

ELK日志流水线：Filebeat是搬运工（轻量采集日志文件），Logstash是翻译官（解析、过滤、转换），Elasticsearch是图书馆（存储+全文检索），Kibana是阅览室（可视化查询）。大流量时加Kafka做缓冲，ES索引按天分割防膨胀。