Grafana Loki es un sistema de agregación de registros multi-tenant iniciado por Grafana en 2018 y liberado bajo la licencia Apache 2.0. Este sistema fue desarrollado inspirándose en Prometheus. Se utiliza principalmente con proveedores en la nube y con herramientas como Prometheus y Grafana.

Loki es similar a la pila ELK/EFK, pero es más fácil de configurar y operar con mejores funcionalidades. Loki no indexa el contenido del registro, sino que indexa marcas de tiempo y un conjunto de etiquetas para un flujo de registro. Esto hace que el índice sea más pequeño, lo que simplifica las operaciones y, a la larga, reduce el coste.

Introducción a la monitorización con Grafana y Loki

Loki es un sistema de agregación de logs creado por GrafanaLabs, es escalable horizontalmente, puede contar con alta disponibilidad y está inspirado en Prometheus. 

A menudo es comparado con el stack ELK (Elasticsearch, Logstash y Kibana), resaltando su facilidad de configuración y ahorro de costes. Éste está basado en Elasticsearch, un servicio que va mucho más allá de la agregación y búsqueda de logs. Por el contrario, Loki se centra únicamente en los logs.

Una diferencia importante es que en el caso de Loki no se está indexando el contenido de los logs, sino metadatos de los mismos en forma de labels.

Otra de las ventajas de Loki es que puede utilizar múltiples sistemas de almacenamiento, incluyendo almacenamiento de objetos. Esto hace que sea ideal para mantener grandes cantidades de log con un coste reducido al utilizar servicios como AWS S3 o Google Cloud Storage.

El stack de Loki está compuesto por varias piezas de software, siendo la principal Loki. A continuación describimos sus componentes:

• Promtail: Es el agente que se instala en las instancias de las cuales queremos obtener logs y se encarga de enviarlos al servicio de Loki. Además de enviar los logs, podemos parsearlos y modificar los labels que se han obtenido dinámicamente de las trazas. Este componente del stack no es estrictamente necesario. De hecho, si ya contamos con algún otro agente shipper de logs configurado, como por ejemplo Logstash del stack ELK, podemos utilizarlo también junto con Loki por medio de un plugin.
• Loki: Es el servicio principal que se encarga de almacenar los logs y ejecutar las queries sobre ellos. A su vez, está dividido en múltiples componentes que pueden ser configurados de forma independiente.
• Grafana: El producto estrella de Grafana Labs utilizado por multitud de proyectos, como por ejemplo PMM. Este dashboard se utiliza para lanzar las queries a Loki y visualizar los resultados.

Hemos mencionado que el servicio de Loki se divide a su vez en múltiples componentes. Estos pueden ser divididos y ejecutados independientemente, llegando a escalar horizontalmente cada uno de ellos. A este tipo de despliegue de loki se le llama modo microservicios.

Es especialmente útil cuando se está tratando con un gran volumen de datos, cuando se hace un uso intensivo del servicio a nivel de queries o en general cuando se requiere tener control sobre alguno de los componentes.

Este modo aumenta notablemente la complejidad de la configuración, pero es el que ofrece un mayor rendimiento. Está especialmente pensado para utilizarse en Kubernetes y Grafana Labs contando con un chart de Helm para su despliegue.

Loki guarda los datos comprimidos con muchísima más eficiencia que systemd-journald. Así que puede resultar recomendable reducir en /etc/systemd/journald.conf el valor por defecto de SystemMaxUse (que en Ubuntu son 4GB) en todas aquellas máquinas que estén utilizando promtail para enviar los datos a Loki.

El despliegue del centro está guardando los journald de unos pocos servidores. El servidor que más volumen de información registra es un gateway que tiene activo el registro de consultas de bind9 y en una hora punta puede generar aproximadamente 1GiB de datos de journald por hora.

Sin embargo los datos de todo un mes para ese servidor y otros pocos que registran un menor volumen de información en Loki consumen aproximadamente 1.6GB.Y estos datos se pueden guardar en disco (como estamos haciendo nosotros) o enviar a un object storage como MinIO (o algún servicio cloud) para conseguir mayores capacidades.

Ventajas de Loki

A continuación se enumeran los beneficios de utilizar Loki en su pila:

• Al indexar sólo metadatos, Loki es muy rentable. Ejecutar índices para el procesamiento de texto completo requiere instancias de RAM más grandes que son muy caras. Almacenar los registros en objetos almacenados como S3 también lo hace muy económico.
• Soporta multi-tenancy mediante el uso de tenantID, por lo que los inquilinos tienen sus datos almacenados por separado.
• Puede ejecutar Loki localmente para operaciones a pequeña escala o escalarlo horizontalmente con facilidad para operaciones a gran escala.
• Utiliza el estilo dynamo para garantizar la coherencia del quórum en las operaciones de lectura y escritura.
• Está configurado por defecto para tener 3 réplicas de registros para hacer frente al riesgo de caídas de procesos y salidas abruptas en las que se pierden los registros. Sí, supondría algún gasto extra pero no tan elevado, la integridad de los datos es más crítica.
• Fácil de conectar con herramientas populares como Kubernetes, Prometheus y visualización en Grafana.

Casos de uso de Loki

A continuación se muestran los casos de uso más populares para utilizar un sistema de registro como Loki.

• Inteligencia empresarial: Este es un caso de uso perenne, crear una visión procesable a partir de los datos de registro siempre puede ser muy útil. Loki puede ayudar a comprender los datos de registro y hacerle capaz de crear nuevas estrategias para el crecimiento del negocio. Por ejemplo, a través de los datos de registro de una organización, puede ayudarle a conocer las tasas de conversión de un canal publicitario.
• Monitorización: Prometheus se utiliza mucho en la industria para la monitorización. Pero puede identificar muchas cosas monitorizando sus logs con herramientas como Loki. Puede ayudarle a controlar las tasas de error de su sitio web revisando los registros y enviando alertas una vez que se cruza el umbral.
• Depuración y resolución de problemas: Loki puede ayudar al equipo de DevOps con algunas respuestas rápidas como cuándo se bloqueó la aplicación, la razón de su bloqueo, su último estado antes de bloquearse, etc.
• Ciberseguridad: En los últimos años, los ciberataques a portales de comercio electrónico han aumentado exponencialmente. Con la ayuda de Loki, puede comprobar los registros para identificar cualquier amenaza o problema, o actividad maliciosa que se esté produciendo en el sistema de su organización. Si el pirateo tuvo éxito, Loki puede seguir siendo útil para que el equipo forense comprenda con detalle lo que ocurrió en el sistema. Les ayudará a rastrear a los piratas informáticos.
• Cumplimiento: Para cumplir con las normativas del sector, las organizaciones deben conservar sus registros de auditoría durante un máximo de 7 años. Las autoridades locales pueden auditar los registros en cualquier momento. Loki puede almacenar sus registros de auditoría de forma segura.

Fuentes:
https://www.strsistemas.com/blog/introduccion-loki 

https://elpuig.xeill.net/Members/vcarceler/articulos/introduccion-a-la-monitorizacion-con-grafana-y-loki

https://geekflare.com/es/grafana-loki-intro/