Python企业级日志需通过ELK栈实现统一收集与分析：Python端用python-json-logger结构化输出，Logstash配置json codec和date filter解析时间，ES按天索引并合理设置字段类型，Kibana对齐时区后构建可视化与告警。

Python应用在企业级环境中，日志不只是“print”或简单文件写入，而是需要统一收集、结构化存储、实时分析与可视化。ELK（Elasticsearch + Logstash + Kibana）是当前主流的日志技术栈，配合Python的logging模块和logstash输出能力，能构建稳定可扩展的日志系统。

Python日志标准化：结构化输出是前提

ELK依赖JSON格式日志，因此Python端必须输出结构化内容。推荐使用python-json-logger库替代默认Formatter：

• 安装：pip install python-json-logger
• 配置示例中指定extra字段（如service_name、trace_id），便于Kibana按服务/链路筛选
• 避免在日志消息中拼接敏感信息（如密码、token），应通过extra参数传入并由Logstash过滤脱敏

Logstash接入：从文件或TCP接收Python日志

Python通常将JSON日志写入文件，Logstash监听该路径；高并发场景可改用logstash-handler直连Logstash TCP端口：

• Logstash配置需启用json codec，并设置type => "python-app"方便后续条件路由
• 若日志含毫秒时间戳（如"asctime": "2025-05-12T14:23:18.456Z"），Logstash需用date filter解析为@timestamp，否则Kibana无法按时间轴展示
• 建议在Logstash中添加if [level] == "ERROR" { mutate { add_tag => ["alert"] } }，用于告警联动

Elasticsearch索引设计：按天滚动+合理mapping

日志数据量大，必须启用基于时间的索引策略（如python-logs-2025.05.12），并在模板中预设字段类型：

• 将trace_id、span_id设为keyword类型，支持精确匹配与聚合
• 日志正文message保留text类型以支持全文检索，同时添加keyword子字段用于terms聚合
• 禁用_source压缩（默认开启），确保Kibana字段提取准确；但可关闭norms和index_options降低存储开销

Kibana可视化：从发现到仪表盘的实用技巧

不要一上来就建复杂看板。先用Discover验证日志是否完整到达，再逐步构建：

• 在Index Patterns中指定@timestamp为时间字段，时区选UTC或本地时区并保持全链路一致
• 创建Time Series Visualize图表时，Y轴用Count()统计错误率，X轴按分钟/小时分组，叠加service_name拆分线图
• 用Alerting功能配置“过去5分钟ERROR数 > 50”触发Webhook通知钉钉/企微，避免人工盯屏

整个流程不复杂但容易忽略细节：Python端结构化、Logstash时间解析、ES字段类型、Kibana时区对齐——四者任一出错都会导致日志“看不见”。把每层的数据样例打印出来比对一次，能省去80%的排查时间。