#Loki vs ELK 对比

Loki 和 ELK 是当前最流行的两种日志解决方案。ELK 起源于全文搜索引擎 Elasticsearch，功能全面但架构复杂、资源消耗大；Loki 是 Grafana Labs 推出的日志聚合系统，以「类 Prometheus」的极简架构迅速获得关注。理解两者的差异，是做出正确技术选型的前提。

两者最本质的区别在于：ELK 对日志内容建立全文索引，支持任意关键词搜索；Loki 只索引日志的元数据（标签），日志内容本身只做压缩存储。这个设计哲学的差异，决定了两者的性能特征和适用场景。

#架构对比

ELK Stack 的组件包括 Elasticsearch（存储 + 检索）、Logstash（处理）、Kibana（可视化）。数据流程是：应用写入日志 → Logstash 解析转换 → Elasticsearch 建立索引和存储 → Kibana 查询展示。每个组件都可以独立扩展，但运维复杂度也相应增加。

Loki 的组件更加精简：Promtail（采集）、Loki（存储 + 检索）、Grafana（查询展示）。Loki 的创新在于借鉴了 Prometheus 的标签索引机制：日志流被分配一组标签，查询时通过标签定位日志流，再在流内进行行过滤。这种「只索引标签，不索引内容」的设计，大大降低了资源消耗。

#选型建议

#实际案例参考

根据公开的社区案例，Grafana Labs 自身从 ELK 迁移到 Loki 后：存储成本降低 70%，查询性能在大多数场景下持平，只有超大规模全文检索场景（单次查询扫描 TB 级数据）出现明显下降。这个结果验证了 Loki 的设计目标：大多数日志查询是「按标签找日志 + 在日志中搜索关键词」，而不是「在海量日志中全文检索」。