---
title: Centralized Logging
type: concept
tags: [DevOps, Observability, CloudOps, AWS]
date: 2025-10-24
---

## Definition
Centralized Logging（集中日志）是一种将分散在多个系统、账户、服务或地理位置的日志汇总到单一中心位置进行统一管理的模式。核心目标是在分布式系统中消除监控盲区，提供全局可观测性。

## Core Properties
- **聚合**：将多个来源的日志合并到单一存储
- **统一查询**：跨来源的集中搜索和分析
- **集中告警**：基于聚合数据的统一告警策略
- **合规保留**：统一的数据保留和合规策略

## Related Concepts
- [[Multi-Account Deployment]]：多账户场景是集中日志的主要驱动因素
- [[Cross-Account Monitoring]]：跨账户监控依赖集中日志基础设施
- [[StackSets Deployment Visibility]]：StackSets 部署可观测性依赖集中日志
- [[Event Sourcing]]：集中日志可以视为事件溯源的一种实现
- [[APM]]（Application Performance Monitoring）：APM 工具通常依赖集中日志数据
- [[CloudWatch Logs]]：AWS 生态系统中的集中日志存储服务
- [[Prometheus]]：时间序列监控，可与集中日志互补

## Implementation Patterns
1. **日志采集层**：Agent/Fluentd/Firelens 收集各来源日志
2. **传输层**：EventBridge/Kinesis/Firehose 传输日志事件
3. **存储层**：CloudWatch Logs/OpenSearch/S3 + Athena
4. **分析层**：CloudWatch Logs Insights/OpenSearch Dashboards/Grafana Loki
5. **告警层**：CloudWatch Alarms/Grafana Alerting/PagerDuty

## AWS Context
- AWS CloudWatch Logs：AWS 原生日志存储和分析服务
- AWS EventBridge：事件驱动的日志采集路由
- AWS CloudTrail：AWS API 调用的审计日志（集中日志的特殊形式）
- AWS Systems Manager OpsCenter：基于集中日志的运营问题管理
- [[Centralized Logging]] ← uses ← [[Amazon EventBridge]] ← routes ← [[Amazon CloudWatch Logs]]