consulting

Guía ELK Stack: Monitorización y registro de sistemas distribuidos

Allan Porras

Allan Porras

8 min read
Guía ELK Stack: Monitorización y registro de sistemas distribuidos

En las arquitecturas distribuidas modernas, la visibilidad ya no es un lujo; es un requisito fundamental para la estabilidad operativa y la ingeniería del rendimiento. La naturaleza efímera de los contenedores y la complejidad de las interacciones entre microservicios crean un entorno opaco donde las herramientas tradicionales de monitorización fallan. El registro centralizado y la observabilidad son las soluciones, y el ELK Stack (Elasticsearch, Logstash, Kibana) sigue siendo una de las plataformas de código abierto más potentes para lograrlo.

Este artículo ofrece una guía técnica y práctica para directores de tecnología y ingenieros senior, para diseñar e implementar una robusta solución de registro utilizando ELK Stack. Nos adentraremos más allá de los conceptos de alto nivel, centrándonos en las decisiones arquitectónicas, la configuración práctica y la optimización del rendimiento a gran escala.

La Arquitectura Central: Componentes y Flujo de Datos

El poder del ELK Stack reside en su diseño modular. Comprender el papel específico de cada componente es fundamental para diseñar un sistema escalable y resiliente. La versión moderna del stack se describe mejor como "Elastic Stack", incorporando Beats como el mecanismo principal de envío de datos.

Servicios de Ingeniería de Productos

Colabore con nuestros gestores de proyectos, ingenieros de software y probadores de calidad para desarrollar su nuevo producto de software personalizado o para apoyar su flujo de trabajo actual, siguiendo las metodologías Agile, DevOps y Lean.

Build with 4Geeks
  • Elasticsearch: En esencia, Elasticsearch es un motor de búsqueda y análisis distribuido y RESTful, basado en Apache Lucene. Almacena, indexa y hace que grandes cantidades de datos estructurados y no estructurados sean buscables en tiempo casi real. Para nuestros propósitos, es la base de datos donde residen todos los registros y métricas. Los conceptos arquitectónicos clave incluyen:nodosclustersíndicesshardsLogstash: Este es el canal de procesamiento de datos del lado del servidor. Su función principal es ingerir datos de múltiples fuentes simultáneamente, transformarlos y luego enviarlos a un "almacén" como Elasticsearch. El canal está definido por tres etapas: Entradasfragmentos: De dónde extraer los datos (p. ej., Beats, Kafka, sockets TCP).
  • Filtros: Cómo procesar los datos. Aquí es donde reside el verdadero poder: convertir texto de registro no estructurado en campos estructurados (grok), enriquecer los datos (geoip) y manipular campos (mutate).
    • Salidas: A dónde enviar los datos procesados (p. ej., Elasticsearch, S3, otra cola de mensajes).
    • Kibana: Esta es la capa de visualización. Kibana proporciona la interfaz web para explorar, visualizar y crear paneles de control sobre los datos almacenados en Elasticsearch. Sus funciones Discover, Lens y Dashboard permiten a los ingenieros pasar de registros brutos a información agregada, identificando tendencias y anomalías.
    • Beats: Estos son transportadores de datos ligeros y de un solo propósito. Se instalan en las máquinas fuente para recopilar diferentes tipos de datos y enviarlos a Logstash o directamente a Elasticsearch. Filebeat
  • Metricbeat: Esta es la capa de visualización. Kibana proporciona la interfaz web para explorar, visualizar y crear paneles de control basados en los datos almacenados en Elasticsearch. Sus funciones Discover, Lens y Dashboard permiten a los ingenieros pasar de los registros brutos a información agregada, identificando tendencias y anomalías.
  • recopila métricas de sistema y servicios. El uso de Beats es la práctica estándar, ya que descarga el trabajo intensivo en recursos de tus servidores de aplicación y proporciona funciones de confiabilidad como el manejo de la "backpressure".: Son dispositivos ligeros y de uso específico para la recopilación de datos. Se instalan en las máquinas fuente para recoger diferentes tipos de datos y enviarlos a Logstash o directamente a Elasticsearch.Filebeatarchivos de registro de la cola, mientras queMetricbeatrecolecta métricas del sistema y de los servicios. Utilizar Beats es la práctica estándar, ya que descarga las tareas que consumen muchos recursos de tus servidores de aplicaciones y proporciona funciones de fiabilidad como el manejo de la sobrecarga.

El flujo de datos estándar es:Beats → Logstash → Elasticsearch ← Kibana. Para entornos de alto rendimiento, se inserta una cola de mensajes para mayor fiabilidad: Beats → Kafka/Redis → Logstash → Elasticsearch.

Implementación práctica: Un stack ELK contenedorizado con Docker

Para demostrar una configuración funcional, utilizaremos Docker Compose para orquestar los componentes principales. Esto proporciona un entorno reproducible para el desarrollo y las pruebas.

Paso 1: Organizar la pila con Docker Compose

Cree un docker-compose.yml de archivo. Esta configuración inicia Elasticsearch, Logstash y Kibana, conectándolos en una red dedicada.

version: '3.8'

services:
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.9.2
    container_name: elasticsearch
    environment:
      - discovery.type=single-node
      - xpack.security.enabled=false # Disable for demo purposes ONLY
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    ports:
      - "9200:9200"
    networks:
      - elk-net

  logstash:
    image: docker.elastic.co/logstash/logstash:8.9.2
    container_name: logstash
    volumes:
      - ./logstash/pipeline:/usr/share/logstash/pipeline/
    ports:
      - "5044:5044"
    depends_on:
      - elasticsearch
    networks:
      - elk-net

  kibana:
    image: docker.elastic.co/kibana/kibana:8.9.2
    container_name: kibana
    ports:
      - "5601:5601"
    depends_on:
      - elasticsearch
    networks:
      - elk-net

networks:
  elk-net:
    driver: bridge

Nota:

La xpack.security.enabled=false es para simplificar.

En un entorno de producción, debe habilitar las características de seguridad como la encriptación TLS y el control de acceso basado en roles.

Paso 2: Configurar el flujo de Logstash

Logstash no funciona sin una configuración de pipeline. Crea un directorio logstash/pipeline/ y añade un archivo logstash.confEste flujo de trabajo monitorea el tráfico de Beats en el puerto 5044, analiza un mensaje de registro JSON entrante y lo envía a Elasticsearch.

# ./logstash/pipeline/logstash.conf

input {
  beats {
    port => 5044
  }
}

filter {
  # Example: If logs are JSON-encoded strings, parse them
  json {
    source => "message"
    target => "log"
  }

  # Grok filter for a common NGINX access log format
  # Sample: 127.0.0.1 - - [19/Oct/2025:14:09:58 +0000] "GET /api/v1/users HTTP/1.1" 200 512 "-" "Go-http-client/1.1"
  grok {
    match => { "message" => "%{IPORHOST:client.ip} %{USER:user.name} %{USER:user.auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:http.request.method} %{DATA:url.path} HTTP/%{NUMBER:http.version}\" %{NUMBER:http.response.status_code:int} %{NUMBER:http.response.body.bytes:int} \"%{DATA:http.request.referrer}\" \"%{DATA:user_agent.original}\"" }
  }

  # GeoIP enrichment based on the parsed client IP
  geoip {
    source => "client.ip"
  }

  # Parse the timestamp into a proper date field
  date {
    match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
    remove_field => "timestamp"
  }
}

output {
  elasticsearch {
    hosts => ["http://elasticsearch:9200"]
    index => "microservice-logs-%{+YYYY.MM.dd}"
  }
  # For debugging during setup
  stdout { codec => rubydebug }
}

Esta configuración demuestra tres filtros potentes: json para registros estructurados, grok para texto no estructurado, y geoip para enriquecimiento de datos. La salida utiliza un patrón de índice diario (microservice-logs-%{+YYYY.MM.dd}), que es crucial para la gestión del almacenamiento de datos.

Paso 3: Configurar el remitente de datos (Filebeat)

En sus servidores de aplicaciones, instale y configure Filebeat. El archivo filebeat.yml especifica qué archivos de registro monitorizar y dónde enviar los datos.

# filebeat.yml on an application server

filebeat.inputs:
- type: filestream
  id: my-app-logs
  enabled: true
  paths:
    - /var/log/my-app/*.log
  # Handle multi-line stack traces (e.g., from Java, Python)
  parsers:
    - multiline:
        type: pattern
        pattern: '^[[:space:]]'
        negate: true
        match: after

# Send data to our Logstash container
output.logstash:
  hosts: ["your-logstash-host:5044"]

Esta configuración afecta a todos los archivos .log en /var/log/my-app/, agrupando correctamente las trazas de pila de múltiples líneas en un único evento y enviándolas a la instancia de Logstash que configuramos.

Arquitectura avanzada para escalabilidad y resiliencia

La configuración básica funciona bien, pero tiene limitaciones bajo una alta carga. Una arquitectura de nivel de producción debe tener en cuenta la gestión del flujo de datos, la durabilidad de los datos y la gestión de costes.

Desacoplamiento con una Cola de Mensajes

Conectar Beats directamente con Logstash crea un sistema muy integrado. Si Logstash se ralentiza o falla, se ejerce presión en la aplicación, lo que podría afectar su rendimiento.

Presentamos un sistema de colas de mensajes como Apache Kafka o Redis Streams como un intermediario entre Beats y Logstash, lo que desacopla el sistema.

  • Beats permite configurar los cambios para que se envíen a Kafka. Esta es una operación ligera y rápida.
  • Logstash ahora consume datos de un tema de Kafka a su propio ritmo.
  • Ventajas: Esta arquitectura ofrece una superior durabilidad (Kafka conserva los datos) y escalabilidad (múltiples consumidores de Logstash pueden procesar los registros en paralelo desde el mismo tema).

Servicios de Ingeniería de Productos

Trabaje con nuestros gestores de proyectos, ingenieros de software y probadores de calidad internos para desarrollar su nuevo producto de software personalizado o para apoyar su flujo de trabajo actual, siguiendo metodologías Agile, DevOps y Lean.

Build with 4Geeks

Salida de Filebeat a Kafka:

output.kafka:
  hosts: ["kafka-broker-1:9092", "kafka-broker-2:9092"]
  topic: 'filebeat-logs'
  partition.round_robin:
    reachable_only: false
  required_acks: 1

Entrada de Logstash desde Kafka:

input {
  kafka {
    bootstrap_servers => "kafka-broker-1:9092,kafka-broker-2:9092"
    topics => ["filebeat-logs"]
    group_id => "logstash_consumers"
  }
}

Gestión del ciclo de vida de los índices de Elasticsearch (ILM)

Almacenar registros indefinidamente es prohibitivamente costoso. Elasticsearch ILM automatiza la gestión de los índices a lo largo de su vida útil. Una estrategia común es la arquitectura Hot-Warm-Cold:

  • Fase de Calentamiento: El índice se está actualizando y consultando activamente. Se encuentra en el hardware más rápido (SSD).
  • Fase de Funcionamiento: El índice ya no se está actualizando, pero sigue siendo consultado. Se puede mover a hardware más lento y menos costoso. Se puede reducir el número de réplicas.
  • Fase de Enfriamiento: Datos poco consultados. Se puede mover al almacenamiento más económico (discos giratorios) o a una instantánea de búsqueda en almacenamiento de objetos (p. ej., S3).
  • Fase de Eliminación: El índice se elimina permanentemente.

Define una política de ILM en Kibana o a través de la API y adjúntala a una plantilla de índice. Esto garantiza que todos los nuevos índices diarios sigan automáticamente la política.

Ejemplo de política de ILM (JSON):

{
  "policy": {
    "phases": {
      "hot": {
        "min_age": "0ms",
        "actions": {
          "rollover": {
            "max_size": "50gb",
            "max_age": "30d"
          }
        }
      },
      "warm": {
        "min_age": "30d",
        "actions": {
          "forcemerge": {
            "max_num_segments": 1
          },
          "shrink": {
            "number_of_shards": 1
          },
          "allocate": {
            "number_of_replicas": 1
          }
        }
      },
      "delete": {
        "min_age": "365d",
        "actions": {
          "delete": {}
        }
      }
    }
  }
}

Conclusión

Implementar el Stack ELK es una inversión estratégica en la visibilidad. Un sistema de registro bien diseñado permite a una organización pasar de una postura reactiva a una postura operativa proactiva. Esto permite a los ingenieros no solo diagnosticar fallos, sino también comprender el comportamiento del sistema, optimizar el rendimiento y detectar anomalías de seguridad.

Las conclusiones clave para una implementación exitosa son:

  1. Estandarizar en Beats: Utilice Beats para el envío de datos y garantizar la fiabilidad y reducir la sobrecarga en los hosts de la aplicación.
  2. Enriquecer en la tubería: Aproveche las capacidades de filtrado de Logstash para analizar, estructurar y enriquecer los datos antes de que lleguen a Elasticsearch. Los registros estructurados son exponencialmente más valiosos que el texto sin formato.
  3. Diseñar para la escalabilidad: Para cualquier carga de trabajo no trivial, introduzca una cola de mensajes como Kafka para desacoplar sus servicios de la tubería de registro.
  4. Gestionar el ciclo de vida de los datos: Implemente ILM desde el principio para controlar los costos de almacenamiento y mantener el rendimiento del clúster.

Siguiendo estos principios, podrá crear un sistema centralizado de registro que sirva como base fundamental de su estrategia de observabilidad, proporcionando información clara y práctica sobre los sistemas distribuidos más complejos.

Preguntas frecuentes

¿Qué es el ELK Stack y para qué se utiliza?

El ELK Stack (ahora a menudo llamado Elastic Stack) es una plataforma potente y de código abierto utilizada para el registro centralizado, la supervisión y la observabilidad en sistemas distribuidos complejos. Está compuesto por cuatro componentes principales: Elasticsearch (un motor de búsqueda y análisis para el almacenamiento de datos), Logstash (una tubería en el servidor para la ingestión y transformación de datos), Kibana (una interfaz web para visualizar y crear paneles de control de datos), y Beats (agentes ligeros que envían datos de las máquinas fuente).

¿Cómo funcionan Elasticsearch, Logstash y Kibana juntos?

Los componentes operan como un flujo de datos. Beats (como Filebeat) recopilan registros o métricas de los servidores de aplicaciones y las envían. Los datos se envían a Logstash, que los procesa, los analiza y los enriquece utilizando filtros (como grok para texto no estructurado). Logstash luego envía los datos estructurados a Elasticsearch, que los indexa y los almacena para búsquedas rápidas y en tiempo real. Finalmente, Kibana se conecta a Elasticsearch, permitiendo a los usuarios explorar los datos, crear visualizaciones y construir paneles para supervisar la salud del sistema.

¿Cómo puede usted hacer que la pila ELK sea escalable y resistente?

Para sistemas de alto rendimiento, a menudo se introduce una cola de mensajes como Apache Kafka entre Beats y Logstash. Esto desacopla el sistema, actúa como un buffer para manejar la sobrecarga y mejora la durabilidad de los datos. Además, Elasticsearch Index Lifecycle Management (ILM) se utiliza para gestionar los costes y el rendimiento del almacenamiento. ILM automatiza la retención de datos moviendo los índices a través de las fases "Caliente" (activos), "Templado" (menos consultados) y "Frío" (infrecuentes), y eventualmente puede eliminar los datos antiguos.