日志分析系统Loki使用指南一、Loki的设计理念Loki的设计目标是保持较低的运营成本和复杂性,这是通过保持非常小的索引并利用商用硬件性能和并行化查询来实现的。因此,作为Loki的用户或操作员,在添加标签时应尽量精简,以优化查询性能。二、标签使用策略减少标签数量:尽可能少的标签意味着更小的索引,从而能带来更好的性能。在添加标签之前要三思而后行,避免不必要的标签增加。避免高基数标签:高基数标签(如每次请求都会产生新的traceID)会导致Loki查询效率降低。如果需要在日志中查找高基数数据,建议使用过滤表达式而非将其作为标签。合理利用低基数标签:对于基数较低的内容(如日志级别),可以提取到标签中以便快速查询。但要注意标签对索引和存储的倍增效应,避免过度使用。三、查询日志查询给定traceID的所有日志:不建议将traceID作为标签进行查询,因为traceID是高基数标签。应使用过滤表达式进行查询,例如:{cluster="ops-cluster-1",namespace="loki-dev"} |= "traceID=2612c3ff044b7d02"。使用静态标签:静态标签开销更小,可以在发送到Loki之前获取相关标签。在k8s中通过helm部署时,可以默认采集如应用名、命名空间、节点名称、pod名称、容器名称等静态标签。四、提高Loki性能并行化查询:Loki通过并行化的方式来提交查询速度。Loki将查询分解成小块,并将其并行调度,最后再进行汇总返回。水平扩展:Loki支持水平扩展,可以通过增加查询器节点来提高查询性能。这种方式比维护一个庞大的索引要便宜得多,尤其是当索引使用频率不高时。五、总结Loki利用水平扩展和查询时间来查询数据,虽然可能不如使用多索引的解决方案快,但运行和部署要容易很多,而且还省资源。Grafana Lab的Loki部分集群数据显示,在过去7天内摄入了14TB的数据,而索引使用量仅为500MB。这证明了Loki在保持小索引方面的优势。因此,在使用Loki时,应尽量减少标签数量,避免高基数标签,合理利用低基数标签,并通过并行化查询和水平扩展来提高性能。六、示意图展示以上即为Loki日志分析系统的使用指南,希望能帮助您更好地理解和使用Loki。