ELK 日志体系面试题及详细答案.docxVIP

ELK日志体系面试题及详细答案

一、基础概念与架构类

1.请简述ELK栈的组成及各组件核心作用，实际部署中通常会搭配什么工具？

答案：ELK是Elasticsearch、Logstash、Kibana三款工具的组合，核心作用分工明确：

• Elasticsearch（ES）：分布式搜索引擎，核心用于日志数据的存储、索引和快速查询，支持水平扩展，通过分片和副本保证数据可靠性和查询性能；

• Logstash：日志收集与处理引擎，负责从多源（文件、数据库、消息队列等）采集日志，进行过滤、转换（如字段提取、格式标准化）后输出到ES等目标；

• Kibana：可视化平台，基于ES的数据提供仪表盘、折线图、搜索面板等，支持日志检索、指标分析和可视化展示，方便运维/开发人员监控和排查问题。

实际部署中，通常会搭配Filebeat（轻量级日志采集器）替代Logstash作为前端采集工具——因为Logstash是JVM进程，资源占用较高，而Filebeat轻量、低耗，适合部署在业务服务器上采集日志，再将数据转发给Logstash或直接写入ES；还可能搭配Kafka/RabbitMQ等消息队列，用于削峰填谷，避免日志峰值时压垮Logstash或ES。

2.Elasticsearch中的索引、分片、副本分别是什么？为什么要设置分片和副