對比項

說明

重要程度

ELK方案

Loki方案

ELK更優

Loki更優

數據存儲成本

P0

官方數據是通常可以將數據壓縮20%~30%，實測下來在某些場景下可以達到50%，使用DEFLATE壓縮算法，最低可以降低超過70%

10倍的壓縮比

5G數據輸入 存儲實際增長0.5G

√

數據查詢成本

占用的CPU等

P0

500條并發查詢大概消耗不到一個cpu core

500條并發查詢大概0.1個CPU

 -

 -

查詢速度

1.同一個查詢語句，多久返回結果

2.關鍵字檢索、過濾、提取

P0

十億條數據規模的文本數據下（單條260B），包括關鍵詞檢索、范圍檢索、組合檢索、模糊查詢等都可以在秒級完成。

1.13G總數據量，查詢30天內數據，

耗時21.9秒

√

特定字段檢索

P0

支持

支持

 -

 -

分析能力

P3

支持多種分析方法，包括聚合分析，ML，自定義分析器等；

過濾關鍵詞式查詢分析

√

采集方式

支持幾種采集方式，鏈路輕量化、插件性能

P3

可以支持filebeat -> es的輕量化采集，也可以支持大規模采集

Promtail，大規模場景未驗證

√

采集速度

P3

單個日志文件采集速度約4MB/s，2W條/s。

單文本1.2MB/s

√

吞吐量

單位時間的寫入量、寫入速度

P2

3臺的ES集群，吞吐數據最高可以達到100MB/s

單臺，3MB/s

√

監控告警

是否支持監控告警、支持程度、復雜度等

P2

Filebeat和es都有監控接口。可以通過prometheus相應的exporter進行監控告警。

對日志做監控告警需要ElasticAlert

ES支持高可用。Filebeat支持數據重傳。

支持集群本身監控告警和日志監控告警。原生集成grafana

√

高可用

主備、副本

P0

副本方式，需要3臺

副本方式，需要3臺

 -

 -

大數據組件支持

支持采集的大數據組件列表

P0

全部支持

全部支持

 -

 -

支持審計日志采集

P0

支持

支持

 -

 -

可擴展性

P2

可動態擴展

支持

 -

 -

Manager納管難度

P2

ES已納管，filebeat/logstash/kibana已具備納管條件。

目前不支持

√

序號

場景

場景說明

優先級

ELK方案

Loki方案

場景1

查詢特定節點在特定時間段內的所有日志

在此場景中，我們將查詢特定節點在特定時間段內的所有日志。預計查詢速度較快，因為我們已經根據時間戳和主機名進行了優化

P0

支持

支持

場景2

查詢特定時間段內所有節點的 ERROR 日志

在此場景中，我們將查詢特定時間段內所有節點的 ERROR 日志。預計查詢速度較快，因為我們已經根據時間戳進行了優化

P0

支持

支持

場景3

查詢特定時間段內某個類別的日志數量（按主機名分組

在此場景中，我們將查詢特定時間段內某個日志類別的數量，并按主機名分組。預計查詢速度較快，因為我們已經根據時間戳進行了優化

P2

支持

支持

場景4

查詢某個關鍵詞出現在日志信息中的所有記錄

在此場景中，我們將查詢某個關鍵詞出現在日志信息中的所有記錄。預計查詢速度較慢，因為我們需要在“日志信息”列中搜索關鍵詞

P0

支持

支持

場景5

查詢特定日志記錄的上下文（例如前后5條記錄）

在此場景中，我們將查詢特定日志記錄（例如場景5中找到的記錄）的上下文，包括前后5條記錄。預計查詢速度較快，因為我們可以通過時間戳和主機名快速定位目標日志及其上下文

P0

支持

支持

場景6

查詢特定時間段內某個節點的 ERROR 日志

P0

支持

支持

場景7

指定節點、集群、實例維度、指定時間范圍的日志查詢，自由排列組合對日志進行篩選查詢

P0

支持

支持

場景8

解析日志里面關鍵字出現數量達到一定的閾值觸發告警

P2

方案需要驗證，通過kibana實現

支持