GoAccess 日志分析完全指南 / 12 - 最佳实践

12 - 最佳实践

12.1 概述

本章汇总了 GoAccess 在生产环境中长期使用所积累的最佳实践，涵盖以下维度：

┌──────────────────────────────────────────────────────┐
│               GoAccess 最佳实践体系                    │
├──────────────────────────────────────────────────────┤
│                                                       │
│  性能优化          运维效率          监控策略          │
│  ─────────        ─────────        ─────────         │
│  · 解析性能        · 脚本模板        · 报告周期        │
│  · 内存优化        · 自动化          · 告警规则        │
│  · I/O 优化        · 版本管理        · 数据保留        │
│                                                       │
│  安全分析          配置管理          团队协作          │
│  ─────────        ─────────        ─────────         │
│  · 威胁识别        · 配置文件        · 权限控制        │
│  · 异常检测        · 环境隔离        · 报告分享        │
│  · 合规审计        · 备份策略        · 知识沉淀        │
└──────────────────────────────────────────────────────┘

12.2 性能优化

12.2.1 解析性能优化

优化策略	方法	效果
排除不需要的面板	`--ignore-panel` 减少面板	减少内存使用和计算
排除噪音数据	`--exclude` 过滤爬虫/静态资源	减少数据量
持久化模式	`--persist` / `--restore`	避免重复解析
减少输出格式	仅生成需要的格式	减少 I/O
使用 `--no-color`	终端模式关闭颜色	减少渲染开销

# 高性能配置示例
goaccess /var/log/nginx/access.log \
  --log-format=COMBINED \
  --ignore-panel=KEYPHRASES \
  --ignore-panel=ASN \
  --ignore-panel=TLS_VERSIONS \
  --exclude='(bot|crawler|spider)' \
  --exclude='\.(css|js|jpg|png|gif|ico|svg|woff2?)$' \
  --exclude='/(health|status|ping)' \
  --no-color \
  -o report.html

12.2.2 内存优化

GoAccess 将所有数据保存在内存中，日志量越大，内存占用越高。

日志规模	预计内存占用	建议
< 100MB	< 50MB	无需优化
100MB - 1GB	50-200MB	基本优化
1GB - 10GB	200MB - 1GB	必须优化
> 10GB	> 1GB	分片或采样

优化方法：

# 方法一：排除高基数面板（Hosts 面板消耗大量内存）
goaccess access.log --log-format=COMBINED \
  --ignore-panel=HOSTS \
  --ignore-panel=GEO_LOCATION

# 方法二：分片处理大文件
split -l 5000000 /var/log/nginx/access.log /tmp/log_chunk_
for chunk in /tmp/log_chunk_*; do
    goaccess "${chunk}" --log-format=COMBINED -o "${chunk}.html" --process-and-exit
done

# 方法三：使用增量模式
goaccess access.log --log-format=COMBINED \
  -o /tmp/goaccess.db --persist

12.2.3 I/O 优化

# 使用 SSD 存放日志文件和持久化数据

# 避免从网络文件系统（NFS/CIFS）直接读取大日志
# 先复制到本地：
cp /nfs/logs/access.log /tmp/access.log
goaccess /tmp/access.log --log-format=COMBINED

# 使用 --process-and-exit 避免不必要的终端渲染
goaccess access.log --log-format=COMBINED \
  -o report.html --process-and-exit

12.2.4 性能基准测试

#!/bin/bash
# benchmark.sh — GoAccess 性能基准测试

LOG_FILE="/var/log/nginx/access.log"
LOG_SIZE=$(du -h "${LOG_FILE}" | cut -f1)

echo "=== GoAccess 性能基准 ==="
echo "日志文件: ${LOG_FILE} (${LOG_SIZE})"
echo ""

# 测试 1: 终端模式（不输出）
echo -n "测试 1 - 终端模式: "
time goaccess "${LOG_FILE}" --log-format=COMBINED \
  --process-and-exit --no-color > /dev/null 2>&1

# 测试 2: HTML 输出
echo -n "测试 2 - HTML 输出: "
time goaccess "${LOG_FILE}" --log-format=COMBINED \
  -o /tmp/test_report.html --process-and-exit 2>/dev/null

# 测试 3: JSON 输出
echo -n "测试 3 - JSON 输出: "
time goaccess "${LOG_FILE}" --log-format=COMBINED \
  -o /tmp/test_report.json --process-and-exit 2>/dev/null

# 测试 4: 带 GeoIP
echo -n "测试 4 - GeoIP 分析: "
time goaccess "${LOG_FILE}" --log-format=COMBINED \
  --geoip-database=/usr/share/GeoIP/GeoLite2-City.mmdb \
  -o /tmp/test_geo.html --process-and-exit 2>/dev/null

# 测试 5: 增量模式
echo -n "测试 5 - 增量模式(首次): "
time goaccess "${LOG_FILE}" --log-format=COMBINED \
  -o /tmp/goaccess_bench.db --persist --process-and-exit 2>/dev/null

echo -n "测试 5 - 增量模式(后续): "
time goaccess "${LOG_FILE}" --log-format=COMBINED \
  -o /tmp/goaccess_bench.db --persist --process-and-exit 2>/dev/null

# 清理
rm -f /tmp/test_report.* /tmp/goaccess_bench.db

echo ""
echo "=== 测试完成 ==="

12.3 运维效率提升

12.3.1 标准化配置文件

维护一套标准的配置文件模板，覆盖不同场景：

# /etc/goaccess/conf.d/
# ├── common.conf          # 公共配置
# ├── nginx-combined.conf  # Nginx Combined 格式
# ├── nginx-json.conf      # Nginx JSON 格式
# ├── apache.conf          # Apache 格式
# └── api-only.conf        # 仅 API 分析

common.conf（公共配置）：

# /etc/goaccess/conf.d/common.conf

# 排除规则
exclude-ip 127.0.0.1
exclude-ip ::1
exclude \.(css|js|jpg|jpeg|png|gif|ico|svg|woff2?|ttf|eot)(\?|$)
exclude /(health|status|ping|readyz|livez|metrics)
exclude (bot|crawler|spider|slurp|Bytespider|GPTBot|ClaudeBot)

# 面板配置
ignore-panel KEYPHRASES

# GeoIP
geoip-database /usr/share/GeoIP/GeoLite2-City.mmdb

# HTML 偏好
html-prefs {"theme":"bright","perPage":30}

nginx-combined.conf：

# /etc/goaccess/conf.d/nginx-combined.conf
# 继承公共配置
config-file /etc/goaccess/conf.d/common.conf

# Nginx Combined 格式
log-format %h - %^ [%d:%t %^] "%r" %s %b "%R" "%u"
date-format %d/%b/%Y
time-format %H:%M:%S

使用方式：

# 分析 Nginx Combined 日志
goaccess /var/log/nginx/access.log \
  --config-file=/etc/goaccess/conf.d/nginx-combined.conf

# 分析 API 日志（附加过滤）
goaccess /var/log/nginx/access.log \
  --config-file=/etc/goaccess/conf.d/nginx-combined.conf \
  --config-file=/etc/goaccess/conf.d/api-only.conf

12.3.2 脚本模板库

建立一套可复用的脚本模板：

/usr/local/bin/goaccess/
├── generate_report.sh    # 通用报告生成
├── daily_report.sh       # 日报
├── weekly_report.sh      # 周报
├── monthly_report.sh     # 月报
├── error_alert.sh        # 错误告警
├── traffic_alert.sh      # 流量告警
├── email_report.sh       # 邮件发送
├── webhook_notify.sh     # Webhook 通知
└── benchmark.sh          # 性能测试

12.3.3 版本管理

# 记录 GoAccess 版本和编译选项
goaccess --version > /etc/goaccess/version.txt 2>&1

# 配置文件使用 Git 版本控制
cd /etc/goaccess
git init
git add .
git commit -m "Initial GoAccess config"

12.4 监控策略

12.4.1 报告周期规划

报告类型	生成频率	数据范围	保留时间	用途
实时面板	持续	当前	N/A	即时监控
小时报告	每小时	1 小时	7 天	趋势跟踪
日报	每天	1 天	90 天	日常分析
周报	每周一	7 天	180 天	趋势分析
月报	每月1日	30 天	365 天	业务回顾
年报	每年1月	365 天	永久	年度总结

12.4.2 告警规则设计

# /etc/goaccess/alert.conf

# ============ 告警阈值配置 ============

# 5xx 错误率阈值（百分比）
ALERT_5XX_WARNING=0.5
ALERT_5XX_CRITICAL=1.0

# 404 比例阈值（百分比）
ALERT_404_WARNING=10
ALERT_404_CRITICAL=20

# 单 IP 请求频率阈值（每小时）
ALERT_RATE_LIMIT=1000

# 流量突变阈值（百分比）
ALERT_TRAFFIC_SPIKE=200
ALERT_TRAFFIC_DROP=80

# 慢请求阈值（秒）
ALERT_SLOW_REQUEST=5.0
ALERT_SLOW_COUNT=50

# 告警渠道
ALERT_EMAIL="admin@example.com"
ALERT_WEBHOOK="https://hooks.example.com/alert"
ALERT_COOLDOWN=300  # 告警冷却时间（秒）

12.4.3 告警冷却机制

#!/bin/bash
# alert_cooldown.sh — 带冷却的告警脚本

COOLDOWN_FILE="/tmp/goaccess_alert_cooldown"
COOLDOWN_SECONDS=300  # 5 分钟冷却

send_alert_with_cooldown() {
    local alert_type="$1"
    local message="$2"
    local now=$(date +%s)
    local cooldown_key="${alert_type}"

    # 检查冷却期
    if [ -f "${COOLDOWN_FILE}" ]; then
        local last_alert=$(grep "^${cooldown_key}=" "${COOLDOWN_FILE}" 2>/dev/null | cut -d= -f2)
        if [ -n "${last_alert}" ]; then
            local elapsed=$((now - last_alert))
            if [ "${elapsed}" -lt "${COOLDOWN_SECONDS}" ]; then
                echo "告警 ${alert_type} 在冷却期内，跳过 (${elapsed}s < ${COOLDOWN_SECONDS}s)"
                return 0
            fi
        fi
    fi

    # 发送告警
    echo "${message}" | mail -s "[${alert_type}] GoAccess 告警" admin@example.com
    curl -s -X POST "${ALERT_WEBHOOK}" \
      -H "Content-Type: application/json" \
      -d "{\"text\": \"[${alert_type}] ${message}\"}" 2>/dev/null

    # 更新冷却时间
    grep -v "^${cooldown_key}=" "${COOLDOWN_FILE}" 2>/dev/null > "${COOLDOWN_FILE}.tmp" || true
    echo "${cooldown_key}=${now}" >> "${COOLDOWN_FILE}.tmp"
    mv "${COOLDOWN_FILE}.tmp" "${COOLDOWN_FILE}"
}

12.5 安全分析

12.5.1 识别恶意流量

#!/bin/bash
# security_scan.sh — 安全流量分析

LOG_FILE="/var/log/nginx/access.log"
REPORT_DIR="/var/www/html/security"
DATE=$(date +%Y-%m-%d)

mkdir -p "${REPORT_DIR}"

# 1. 分析可疑 IP（高频请求）
echo "=== 高频请求 IP Top 20 ==="
tail -100000 "${LOG_FILE}" | \
  awk '{print $1}' | sort | uniq -c | sort -rn | head -20

# 2. 分析 404 探测行为
echo ""
echo "=== 404 探测行为 ==="
grep '" 404 ' "${LOG_FILE}" | \
  awk '{print $1}' | sort | uniq -c | sort -rn | head -20

# 3. 分析可疑 User-Agent
echo ""
echo "=== 可疑 User-Agent ==="
grep -iE '(sqlmap|nikto|nmap|masscan|dirbuster|gobuster|wpscan|hydra|medusa)' \
  "${LOG_FILE}" | \
  awk -F'"' '{print $6}' | sort | uniq -c | sort -rn

# 4. 分析 SQL 注入尝试
echo ""
echo "=== SQL 注入尝试 ==="
grep -iE "(union.*select|select.*from|insert.*into|delete.*from|drop.*table|'.*or.*')|".*--|".*;.*--" \
  "${LOG_FILE}" | \
  awk '{print $1, $7}' | sort | uniq -c | sort -rn | head -20

# 5. 分析路径遍历尝试
echo ""
echo "=== 路径遍历尝试 ==="
grep -E '(\.\./|\.\.\\)' "${LOG_FILE}" | \
  awk '{print $1, $7}' | sort | uniq -c | sort -rn | head -20

# 6. 生成安全报告 HTML
echo "生成安全报告..."
grep -E '" (4[0-9]{2}|5[0-9]{2}) ' "${LOG_FILE}" | \
  goaccess --log-format=COMBINED \
  -o "${REPORT_DIR}/security_${DATE}.html" \
  --html-title="安全分析报告 - ${DATE}" \
  --sort-panel=HOSTS,BY_HITS \
  --sort-panel=REQUESTS,BY_HITS \
  --process-and-exit - 2>/dev/null

echo "安全报告已生成: ${REPORT_DIR}/security_${DATE}.html"

12.5.2 自动封禁恶意 IP

#!/bin/bash
# auto_ban.sh — 自动封禁恶意 IP

LOG_FILE="/var/log/nginx/access.log"
BAN_THRESHOLD=500     # 请求阈值（每小时）
BAN_404_THRESHOLD=100 # 404 请求阈值
BAN_LIST="/etc/nginx/banned_ips.conf"
WHITELIST="/etc/goaccess/whitelist.txt"

# 获取最近 1 小时的高频 IP
HIGH_FREQ_IPs=$(tail -36000 "${LOG_FILE}" | \
  awk '{print $1}' | sort | uniq -c | sort -rn | \
  awk -v threshold="${BAN_THRESHOLD}" '$1 > threshold {print $2}')

# 获取高频 404 IP
SCANNER_IPs=$(tail -36000 "${LOG_FILE}" | grep '" 404 ' | \
  awk '{print $1}' | sort | uniq -c | sort -rn | \
  awk -v threshold="${BAN_404_THRESHOLD}" '$1 > threshold {print $2}')

# 合并并去重
BANNED_IPs=$(echo -e "${HIGH_FREQ_IPs}\n${SCANNER_IPs}" | sort -u)

# 排除白名单 IP
if [ -f "${WHITELIST}" ]; then
    BANNED_IPs=$(comm -23 <(echo "${BANNED_IPs}" | sort) <(sort "${WHITELIST}"))
fi

# 更新封禁列表
echo "# Auto-generated by goaccess auto_ban.sh" > "${BAN_LIST}"
echo "# Updated: $(date)" >> "${BAN_LIST}"
while read -r ip; do
    [ -n "${ip}" ] && echo "deny ${ip};" >> "${BAN_LIST}"
done <<< "${BANNED_IPs}"

# 重载 Nginx
nginx -t && nginx -s reload

echo "封禁列表已更新: ${BAN_LIST}"
echo "封禁 IP 数: $(wc -l < "${BAN_LIST}")"

12.5.3 Nginx 封禁配置

# /etc/nginx/conf.d/ban.conf
include /etc/nginx/banned_ips.conf;

12.5.4 合规审计

#!/bin/bash
# compliance_audit.sh — 合规审计脚本

LOG_FILE="/var/log/nginx/access.log"
DATE=$(date +%Y-%m-%d)

echo "=== 合规审计报告 - ${DATE} ==="

# 1. 检查 HTTPS 使用率
TOTAL=$(wc -l < "${LOG_FILE}")
HTTPS=$(grep -c 'HTTPS' "${LOG_FILE}" || echo 0)
HTTP=$((TOTAL - HTTPS))
HTTPS_RATE=$(echo "scale=2; ${HTTPS} * 100 / ${TOTAL}" | bc)

echo ""
echo "HTTPS 使用率: ${HTTPS_RATE}%"
echo "  HTTPS 请求: ${HTTPS}"
echo "  HTTP  请求: ${HTTP}"

# 2. 检查敏感路径访问
echo ""
echo "=== 敏感路径访问 ==="
grep -iE '"/(\.env|\.git|wp-admin|phpmyadmin|adminer|\.htaccess|\.htpasswd)' \
  "${LOG_FILE}" | \
  awk '{print $1, $7}' | sort | uniq -c | sort -rn | head -10

# 3. 检查异常大请求
echo ""
echo "=== 异常大请求 ==="
awk '$10 > 10485760 {print $1, $7, $10}' "${LOG_FILE}" | \
  sort -k3 -rn | head -10

# 4. GeoIP 合规（GDPR 相关）
echo ""
echo "=== 欧盟地区访客统计 ==="
goaccess "${LOG_FILE}" --log-format=COMBINED \
  --geoip-database=/usr/share/GeoIP/GeoLite2-City.mmdb \
  -o - --no-global-config --process-and-exit 2>/dev/null | \
  jq '.geolocation.data[] | select(.data | test("(Germany|France|Italy|Spain|Netherlands|Belgium|Austria|Poland|Sweden|Denmark|Finland|Ireland|Portugal|Greece|Czech|Romania|Hungary)")) | "\(.data): \(.visitors.count) 访客"'

12.6 数据保留策略

12.6.1 分层保留方案

数据类型	保留时间	存储位置	清理策略
原始日志	30 天	本地磁盘	logrotate
压缩日志	90 天	本地磁盘	logrotate
日报	90 天	Web 服务器	cron 清理
周报	180 天	Web 服务器	cron 清理
月报	365 天	Web 服务器	手动归档
年报	永久	归档存储	手动归档
持久化数据库	30 天	本地磁盘	cron 清理

12.6.2 自动清理脚本

#!/bin/bash
# cleanup.sh — 数据保留清理

REPORT_BASE="/var/www/html/stats"
GOACCESS_DATA="/var/lib/goaccess"

# 清理日报（保留 90 天）
find "${REPORT_BASE}/daily" -name "*.html" -mtime +90 -delete 2>/dev/null
echo "已清理 90 天前的日报"

# 清理周报（保留 180 天）
find "${REPORT_BASE}/weekly" -name "*.html" -mtime +180 -delete 2>/dev/null
echo "已清理 180 天前的周报"

# 清理月报（保留 365 天）
find "${REPORT_BASE}/monthly" -name "*.html" -mtime +365 -delete 2>/dev/null
echo "已清理 365 天前的月报"

# 清理 GoAccess 持久化数据（保留 30 天）
find "${GOACCESS_DATA}" -name "*.db" -mtime +30 -delete 2>/dev/null
echo "已清理 30 天前的持久化数据"

# 清理空目录
find "${REPORT_BASE}" -type d -empty -delete 2>/dev/null

# 报告磁盘使用
echo ""
echo "=== 磁盘使用 ==="
du -sh "${REPORT_BASE}"/*/
du -sh "${GOACCESS_DATA}" 2>/dev/null || true

12.7 配置管理

12.7.1 配置文件组织

/etc/goaccess/
├── goaccess.conf         # 主配置文件
├── conf.d/
│   ├── common.conf       # 公共配置
│   ├── nginx.conf        # Nginx 格式配置
│   ├── apache.conf       # Apache 格式配置
│   └── api.conf          # API 分析配置
├── alert.conf            # 告警配置
├── whitelist.txt         # IP 白名单
└── GeoIP.conf            # GeoIP 配置

12.7.2 备份策略

#!/bin/bash
# backup_config.sh — 配置备份

BACKUP_DIR="/backup/goaccess/$(date +%Y%m%d)"
mkdir -p "${BACKUP_DIR}"

# 备份配置文件
cp -r /etc/goaccess/ "${BACKUP_DIR}/config/"

# 备份报告生成脚本
cp -r /usr/local/bin/goaccess/ "${BACKUP_DIR}/scripts/"

# 备份 systemd 服务文件
cp /etc/systemd/system/goaccess*.service "${BACKUP_DIR}/systemd/" 2>/dev/null || true
cp /etc/systemd/system/goaccess*.timer "${BACKUP_DIR}/systemd/" 2>/dev/null || true

# 备份 crontab
crontab -l > "${BACKUP_DIR}/crontab.txt" 2>/dev/null || true

# 压缩
tar -czf "${BACKUP_DIR}.tar.gz" "${BACKUP_DIR}"
rm -rf "${BACKUP_DIR}"

echo "配置已备份至: ${BACKUP_DIR}.tar.gz"

12.8 团队协作

12.8.1 权限控制

# 创建专用用户
sudo useradd -r -s /bin/false goaccess

# 设置文件权限
sudo chown -R goaccess:goaccess /var/www/html/stats
sudo chmod -R 755 /var/www/html/stats

# 配置文件权限
sudo chown root:goaccess /etc/goaccess/*
sudo chmod 640 /etc/goaccess/*

12.8.2 多环境配置

开发环境 → 开发配置 → 完整面板、详细数据
测试环境 → 测试配置 → 模拟数据、告警测试
生产环境 → 生产配置 → 优化面板、正式告警

# 通过环境变量选择配置
ENV=${GOACCESS_ENV:-production}
goaccess access.log --config-file="/etc/goaccess/${ENV}/goaccess.conf"

12.9 故障排查清单

问题	检查项	解决方案
解析结果为空	日志格式是否匹配	`--debug-file` 调试
Hits 全为 0	格式字符串是否正确	对照日志样例检查
日期解析失败	`--date-format` 是否匹配	调整日期格式
中文乱码	UTF-8 是否启用	`goaccess --version` 检查
GeoIP 不生效	数据库路径是否正确	`ls /usr/share/GeoIP/`
WebSocket 断连	端口是否被占用	`ss -tlnp \| grep 7890`
内存溢出	日志文件是否过大	减少面板/分片处理
HTML 报告打不开	文件是否损坏	重新生成报告
实时面板不更新	tail -f 是否正常	检查管道是否断开
Cron 不执行	权限/路径是否正确	查看 cron 日志

12.9.1 调试流程

# Step 1: 验证日志文件
head -5 /var/log/nginx/access.log
# 检查日志格式是否正确

# Step 2: 验证格式配置
echo '192.168.1.1 - - [10/May/2026:14:30:15 +0800] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0"' | \
  goaccess --log-format=COMBINED -
# 如果正常显示面板，说明格式正确

# Step 3: 使用调试模式
goaccess /var/log/nginx/access.log \
  --log-format=COMBINED \
  --debug-file=/tmp/goaccess_debug.log
cat /tmp/goaccess_debug.log

# Step 4: 检查版本和编译选项
goaccess --version

# Step 5: 检查配置文件
goaccess --dcf  # 显示默认配置文件路径

12.10 生产环境检查清单

部署前检查

GoAccess 版本 ≥ 1.7
UTF-8 已启用
GeoIP 数据库已配置（如需要）
日志格式已验证
配置文件已标准化
报告输出目录已创建
权限已正确设置

运行时检查

实时面板正常更新
WebSocket 连接正常
定时任务正常执行
告警机制已测试
磁盘空间充足
内存使用正常

安全检查

报告站点有 Basic Auth 保护
WebSocket 使用 WSS（生产环境）
日志中无敏感信息泄露
防火墙规则已配置
GeoIP 数据库定期更新

12.11 快速参考卡片

常用命令速查

# 基本分析
goaccess access.log --log-format=COMBINED

# HTML 报告
goaccess access.log --log-format=COMBINED -o report.html

# JSON 输出
goaccess access.log --log-format=COMBINED -o report.json

# 实时终端
tail -f access.log | goaccess --log-format=COMBINED -

# 实时 HTML
tail -f access.log | goaccess --log-format=COMBINED -o report.html --real-time-html -

# 排除爬虫
goaccess access.log --log-format=COMBINED --exclude='(bot|crawler|spider)'

# 排除静态资源
goaccess access.log --log-format=COMBINED --exclude='\.(css|js|jpg|png)$'

# 排除 IP
goaccess access.log --log-format=COMBINED --exclude-ip=127.0.0.1

# 日期范围
goaccess access.log --log-format=COMBINED --date-range=20260501-20260531

# 状态码过滤
goaccess access.log --log-format=COMBINED --status-code=4xx

# 压缩日志
zcat access.log.*.gz | goaccess --log-format=COMBINED -

# 增量模式
goaccess access.log --log-format=COMBINED -o db --persist
goaccess db --restore -o report.html

12.12 总结

核心建议

从简开始：先用默认配置熟悉基本功能，再逐步定制
标准化配置：使用配置文件管理常用参数，避免命令行过长
排除噪音：始终排除爬虫和静态资源，聚焦真实用户数据
自动化优先：报告生成、告警通知应全部自动化
安全第一：保护报告站点，加密 WebSocket 连接
定期审视：定期检查报告质量、告警准确性、存储使用
版本控制：配置文件纳入 Git 管理
性能意识：大文件使用增量模式，高流量排除不必要的面板

GoAccess 的边界

GoAccess 是一个优秀的单机日志分析器，但它不是万能的。当你的需求超出以下范围时，应考虑其他方案：

需求	GoAccess	替代方案
分布式日志聚合	❌	ELK Stack / Loki
复杂自定义查询	❌	SQL / LogQL
实时告警引擎	❌	Prometheus + Alertmanager
全栈可观测性	❌	Grafana / Datadog
海量数据存储	❌	ClickHouse / BigQuery