從單體式到分布式，系統架構在變，我們對系統的監控需求也在變。隨著微服務概念的提出，容器與云技術的發展，如何保障整個系統鏈路及各分支系統的穩定運行對企業的網絡穩定與業務發展尤為重要。不同的監控方式由于其數據源、監控路徑、落地方式等不同，在進行全鏈路監控中會面臨不一樣的挑戰。本文將日志類與網絡數據類這兩種市場上主流的性能監控派別從以上三個方面進行討論，看看誰能更好地實現全鏈路監控。

一、數據源對比

• 采樣數據VS全量數據

日志類的數據來源有兩類：一種是傳統物理設備上的日志文件，這種日志文件能夠提供的數據格式、數據精細度、數據內容都是各個設備廠商預先設定的；另外一種是程序開發過程中或之后，為捕獲程序或者系統本身的運行信息開發出來的日志系統。日志系統本身不對應用程序發起主動式訪問，只是伴隨著程序的運行，將相關的運行數據輸送出來，大部分日志系統輸送出來的都是機器本身或者程序運行的狀態信息。此外，日志屬于采樣數據，信息級別與功能均由人工定義，在存儲以及分析的過程中時常因前端需求而更改，按照人為需求進行目標輸出，因此邊界十分明顯。

網絡數據是應用程序之間通過網絡進行傳輸的獨特過程數據，能提供業務活動、應用性能、安全性與IT基礎架構等方面的信息。通過交換機鏡像的方式將網絡數據復制出來，送至分析服務器從而實現性能監控。網絡數據是一種全量數據，通過旁路捕獲數據包，不消耗任何系統資源，實時反映設備、服務器、系統等運行的狀態。

• 時間精度和實時性

日志時間由系統程序自動打印，一般精確到毫秒；網絡數據的時間戳由捕獲服務器的高性能網卡抓包時進行標記，最快可以實現納秒級。盡管同樣采用ntp時間同步，二者的時間準確程度也會因網絡傳輸等因素產生毫秒級以上的差距。

在網絡傳輸過程中，由于Delayed ACK與Nagle算法相互作用會導致最大500毫秒的延遲。日志往往無法排查此類問題，而通過網絡數據可以進行數據包回溯分析。因此，網絡數據比日志具備更高的實時性。

二、監控路徑對比

作為兩種數據源，日志與網絡數據所監控的定義與范圍有著天然的差別。分布式追蹤領域有三個重要的概念：Metrics、Trace、Log，全鏈路監控就是利用三者間的關系分步驟實現。

• Metrics即指標，反映組件實時狀況與健康度；

• Trace即鏈路，反映在單次請求的范圍內如何處理信息；

• Log即日志，反映離散的事件或過程；

  
  

  

（Metrics、Tracing、Logging三者間的關系示意圖）

一般進行全鏈路監控有兩種做法：

• 第一種做法：首先通過指標即（Metrics）,查看組件的健康程度、受影響的交易類型，再通過指標關聯查看整個交易路徑的健康度即（Trace），最后定位具體的問題節點即（Log），找出根因。

• 第二種做法：當交易出現問題，先查看出錯的具體路徑即（Trace），再查看相對應的指標（Metrics），如服務器或應用性能指標等，最后查看詳細日志數據（Log）。

我們都知道，網絡數據通常反映的是指標，然而無論是指標還是日志都必須經過數據加工處理才能進入全鏈路追蹤體系。Metrics輔助于應用監控，傾向于節省資源，會對數據進行天然的“壓縮”，而Log傾向于無限增加，會頻繁地超出預期容量。無論是日志類還是網絡數據類監控都可以采用以上兩種做法，只不過介于數據源的因素，網絡數據類監控具有天然可操作性，而日志類監控卻經過了一個漫長的發展期，并衍生出許多新的問題。

三、落地方式對比

全鏈路監控的需求不是一開始就有的，受制于網絡科技與業務發展等諸多因素，不同階段對全鏈路監控的標準和需求也有著明顯的差異。

網絡發展初期，業務規模小，企業通常采用標準作業程序（SOP）。由于系統多為單體架構，操作簡單、易部署，為節省資源、縮短時間成本，除核心系統外，沒有監控其它系統的需求，因此，系統版本迭代較慢，不易擴展，全鏈路監控也就無從談起。

到了2010年左右，互聯網發展進入飛躍期。隨著業務量逐漸增多，業務分支越來越細，垂直架構逐漸興起。然而，這一時期，系統與系統之間存在數據冗余，且同一個子系統中的業務無法實現關聯，盡管全鏈路監控的需求與日俱增，如何實現卻成為一道現實難題。

在追求全鏈路監控的過程中，由于缺乏統一的標準，對現有系統進行改造成為當時較為普遍的解決方案。然而，改造系統同樣面臨兩個嚴峻問題：

• 第一大問題：改造周期過長。即便如BMC對系統實施改造，在半年內也僅能完成兩套系統的改造工作。如果用戶規模持續增多、業務量持續走高，耗時將會更久；而通過網絡數據對系統進行改造，可以實現3個月內10套系統的改造升級工作。

• 第二大問題：成本過高。日志改造需要網絡部門與開發部門協同合作。我們都知道，在企業內部，開發部門屬于增效部門，運維部門屬于降本部門，二者之間有天然的隔閡，改造日志勢必會增加開發成本、增加人天數；而利用網絡數據進行改造，將90%的工作在運維部門內部完成，極大地降低開發成本，提高運維效率。

2014年，ThoughtWorks首席科學家Martin Fowler與James Lewis對微服務提供了完整定義：

• 每個服務運行在自己的進程中；

• 微服務之間采用輕量級通信；

• 微服務應基于業務能力進行構建；

• 采用自動化部署機制實現微服務的獨立部署；

• 服務的管理應采用最小的中心化管理。

隨著分布式鏈路架構的日益成熟，云環境與微服務的天然契合性，為日志全鏈路監控標準的產生奠定了一定基礎。微服務即服務按照不同維度拆分，一次請求往往涉及多個服務，這些應用服務由不同的團隊開發、使用不同的編程語言，橫跨多個數據中心，因此全鏈路監控勢在必行，進一步刺激了基于日志的全鏈路監控標準與工具的產生。

微服務架構中，業務鏈路極其復雜，如何快速發現問題、判斷故障節點、梳理服務鏈路、分析鏈路性能是影響全鏈路監控的主要問題。而基于日志的全鏈路監控就主要圍繞這些問題，通過埋點與生成日志、收集與存儲日志、分析和統計調用鏈路數據來一一實現。埋點日志通常要包括traceID、spanID、調用開始時間、協議類型等信息，把統一traceID的Span收集起來，按時間排序即timeline，再把ParentID串起來就組成調用棧，利用traceID查詢調用鏈情況就可以隨時定位問題。但是在調用的過程中，如果調用失敗會直接中斷主流程，而調用過程又具有高依賴與頻繁依賴的特性，因此提升性能、增強穩定性是解決日志全鏈路監控的關鍵。

（span細節圖）

為了解決性能問題，眾多大廠紛紛入局，研發了許多開源的日志類監控工具，如谷歌的Dapper、Zipkin、Sky Walking 、Pinpoint等。但是這些開源監控產品通常通過代碼埋點進行部署，傳遞的是底層數據，和業務的相關性較低。除此以外，探針的性能、Collector的擴展性、時間人工成本等因素也影響著全鏈路監控的應用。比如，在某大型股份制銀行長達兩年的云上分布式鏈路追蹤來看，其人工成本增加近150%，這對于某些中小型企業是難以承受的壓力。

（Dapper的分布式跟蹤）

而通過網絡數據，無需對系統進行改造，僅需對數據進行解碼，梳理各個節點的訪問關系，刻畫業務的調用路徑，相比日志更易落地。

未來，隨著技術的發展，日志類全鏈路監控的落地難題也許會被攻克。但就目前而言，無論是數據源、監控路徑，亦或落地方式，基于網絡數據的全鏈路監控明顯優于日志。需求決定市場，選擇網絡數據作為監控數據源，從源頭解決全鏈路監控的一系列難題，即刻落地、節約資源、發揮高效性能，維護網絡穩定，推動業務發展。