K8s容器日志实时收集FileBeat+ES+Kibana

最新推荐文章于 2024-08-18 12:37:33 发布
最新推荐文章于 2024-08-18 12:37:33 发布
阅读量6.2k 收藏 18
点赞数 2
分类专栏: Docker MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abcdocker/article/details/89030830
版权
本文介绍了在Kubernetes(K8s)环境中,利用FileBeat收集容器日志并配合Elasticsearch(ES)和Kibana进行实时分析的流程。首先讲解了FileBeat的工作原理,包括harvester和prospector组件,然后详细阐述了从Tomcat镜像制作、FileBeat镜像构建到Elasticsearch和Kibana的安装过程。最后,文章通过k8s测试验证了日志收集的正确性和实时性。
摘要由CSDN通过智能技术生成

K8s容器日志实时收集FileBeat+ES+Kibana

www.i4t.com

标签(空格分隔): ELK

文章目录

k8s日志收集第一种方式
filebeat.png-197.6kB
k8s日志收集第二种方式
filebeat.png-197.6kB

环境说明

IP地址 服务 主机名
10.4.82.119 docker、k8s_master|node、 master
10.4.82.120 docker、 k8s_node、kibana node
10.4.82.115 es、Harbor镜像仓库、docker (主要作用就是打一个filebeat镜像) i4t

提示:filebeat跑在k8s容器内部,所以没有单独创建服务

一、FileBeat

作为 Beats 家族的一员,Filebeat 是一个轻量级的日志传输工具,它的存在正弥补了 Logstash 的缺点:Filebeat 作为一个轻量级的日志传输工具可以将日志推送到中心 Logstash。

在版本 5.x 中,Elasticsearch 具有解析的能力(像 Logstash 过滤器)— Ingest。这也就意味着可以将数据直接用 Filebeat 推送到 Elasticsearch,并让 Elasticsearch 既做解析的事情,又做存储的事情。也不需要使用缓冲,因为 Filebeat 也会和 Logstash 一样记住上次读取的偏移:
image_1d6v3v2fn29s1oa932m3nf1i0n9.png-24.1kB
如果需要缓冲(例如,不希望将日志服务器的文件系统填满),可以使用 Redis/Kafka,因为 Filebeat 可以与它们进行通信:
image_1d6v3vfrn16g7bmp18ct1cm7pvom.png-32.1kB

Filebeat 优点

Filebeat 只是一个二进制文件没有任何依赖。它占用资源极少,尽管它还十分年轻,正式因为它简单,所以几乎没有什么可以出错的地方,所以它的可靠性还是很高的。它也为我们提供了很多可以调节的点,例如:它以何种方式搜索新的文件,以及当文件有一段时间没有发生变化时,何时选择关闭文件句柄。

Filebeat 缺点

Filebeat 的应用范围十分有限,所以在某些场景下我们会碰到问题。例如,如果使用 Logstash 作为下游管道,我们同样会遇到性能问题。正因为如此,Filebeat 的范围在扩大。开始时,它只能将日志发送到 Logstash 和 Elasticsearch,而现在它可以将日志发送给 Kafka 和 Redis,在 5.x 版本中,它还具备过滤的能力。

典型应用场景

Filebeat 在解决某些特定的问题时:日志存于文件,我们希望

① 将日志直接传输存储到 Elasticsearch。这仅在我们只是抓去(grep)它们或者日志是存于 JSON 格式(Filebeat 可以解析 JSON)。或者如果打算使用 Elasticsearch 的 Ingest 功能对日志进行解析和丰富。

② 将日志发送到 Kafka/Redis。所以另外一个传输工具(例如,Logstash 或自定义的 Kafka 消费者)可以进一步丰富和转发。这里假设选择的下游传输工具能够满足我们对功能和性能的要求。

1.1 FileBeat工作原理

Filebeat是本地文件的日志数据采集器。作为服务器上的代理安装,Filebeat监视日志目录或特定的日志文件tail -f file并将它们转发给ES、Logstash、Kafka

Filebeat由二个主要组件组成:prospectorhavvester 这些组件一起工作读取文件并将时间数据发送到指定的输出

启动Filebeat时,它会启动一个或多个查找器,查看您的日志文件指定的本地路径。对**prospector**所在的每个日志文件,prospector启动harvester。每个harvester都会为新内容读取单个日志文件,并将新日志数据发送到libbeat,后者将聚合事件合并聚合数据发送到Filebeat配置的输出

kafka-img.png-83.3kB

harvester

负载读取单个文化的内容。读取每个文件,并将内容发送到the output。每个文件启动一个harvester,负责打开和关闭文件,这意味着在运行时文件描述符保持打开状态
如果文件在读取时被删除或重命名,Filebeat将继续读取文件。在harvester关闭之前,磁盘上的空间被保留。默认情况下,Filebeat将文件保持打开状态,直到达到close_inactive状态

关闭harvester会产生以下结果

1.如果在harvester仍在读取文件时文件被删除,则关闭文件句柄,释放底层资源。
2.文件的采集只会在scan_frequency过后重新开始
3.如果在harvester关闭的情况下移动文件,则不会继续处理文件
prospector

负责管理harvester并找到所有要读取的文件来源。
如果输入类型为日志,则查找器将查找路径匹配的所有文件,并为每个文件启动一个harvester。每个prospector都在自己的Go斜程中运行

以下示例将Filebeat配置为从与指定的匹配的所有日志文件中收集行:

filebeat.prospectors:
- type: log
  paths:
    - /data/log/*.log
    - /data/log4j/*.log

Filebeat目前支持两种prospector类型:logstdin
每个prospector类型可以定义多次
日志prospector检查每个文件以查看harvester是否需要启动,是否已经运行

只有在harvest关闭后文件大小发生了变化,才会读到新行

注:Filebeat prospector只能读取本地文件,没有功能可以连接到远程主机来读取存储的日志或文件

最低0.47元/天 解锁文章
abcdocker
关注
专栏目录
k8s部署elasticsearch+filebeat+kibana
weixin_40548182的博客
03-12 989
创建elasticsearch和kibana资源 创建elasticsearch的ConfigMap cat elasticsearch-configmap.yaml apiVersion: v1 kind: ConfigMap metadata: name: elasticsearch-configmap namespace: kube-system data: elasticsearch.yml: | cluster.name: my-elasticsearch path.
macos k8s环境下基于filebeat、ElasticSearch、Kibana日志解决方案
weixin_43279440的博客
10-27 820
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
filebeat采集k8s日志 - docker目录(默认docker目录使用此方法)
晓俊子的博客
01-16 859
filebeat采集k8s日志 - docker目录(默认docker目录使用此方法)
ES+FileBeat+Kibana日志采集搭建体验
最新发布
qq_16170703的博客
08-18 1466
简单演示搭建ES+FileBeat+Kibana进行日志采集、上报、展示、搜索流程。
Filebeat + ES + kibana Ingest node 做解析
Lyncai的专栏
09-08 310
https://zhuanlan.zhihu.com/p/77413046 使用Filebeat + ES + Kibina的组合进行日志收集的一个优点就是轻量级,因为去掉了笨重的logstash, 占用资源更少。但这也引入了一个问题,即filebeat并没有logstash那样强大的日志解析能力,往往只能把整条日志当成一个整体扔到ES中。好消息是,ES从5.x版本开始引入了Ingest Node,即允许你在对文档进行索引之前进行预处理,且支持logstash的Grok语法。因此我们可以在ES中针对我
Filebeat + es +kibana
登高~
01-19 1104
背景 分析--->报警 Kibana 展示 Kibana 存储 ElasticSerach 过滤 Logstash 收集 Filebeat, Logstash logstash:因为是由java写的,所以在它收集日志时非常占用业务系统的资源,从而影响线上业务,所以我们将其替换为filebeat. filebeat:为轻量的日志收集组件,会让业务系统的运行更加的稳定. 由于痛点: 1.出现故障,要排查的日志非常的多,没有办法很快定位; 2.统计TOP,PV,UV,I
较详细的filebeat+es+kibana+sentinl,日志采集+mail、钉钉报警
MJ的博客
10-31 4417
1.总体架构图 2.日志截图,filebeat需要采集json日志行。中文变量是为了可读性。JSON.toJsonstring(obj,true)进行pretty打印JSON 3.filebeat配置,多使用 ./filebeat -e -c filebeat.yml -d '*' 查看采集状况,filebeat自带一些常用模块如mysql慢查询,错误日志。进入fileb...
docker安装filebeatk8s安装filebeat、通过k8s ConfigMap配置filebeatk8s DaemonSet安装filebeat采集日志es
qq_32352777的博客
05-10 3594
目录 前言 日志架构 使用节点级日志代理 使用 sidecar 容器运行日志代理 具有日志代理功能的边车容器 从应用中直接暴露日志目录 解决方案 部署应用 通过DaemonSet运行filebeat 通过ConfinMap创建filebeat配置文件 编写yaml脚本运行filebeat 查看日志 参考文档 前言 本博文中涉及解决方案通过参考k8s官方手册和filebeat手册得出,整体通过k8s DaemonSet部署elastic/filebea...
K8s部署轻量级日志收集系统EFK(elasticsearch + filebeat + kibana)_efk 系统日志 容器日志
2401_84166236的博客
04-17 763
默认的索引格式为filebeat-%{[agent.version]}-%{+yyyy.MM.dd},在Kibana上呈现的就是filebeat-2023.10.21-000001这样的索引命名格式,而且默认的索引模板和索引生命周期都与index中设置的filebeat-demo-%{[agent.version]}-%{+yyyy.MM.dd}无关。setup.template.name: “filebeat-demo” # 设置一个新的模板,模板的名称为filebeat-demo。
K8S环境 使用ELK+Filebeat 收集容器日志的方案和安装部署
likangdir的博客
03-17 4031
ELK + Filebeat K8S环境安装 通过helm来安装 ELK+Filebeat 相关的chart已经上传 github.com 点击此处 ELK+Filbeat 下载原码 怎么说呢,helm安装特别简单,没啥说的,主要是chart编写,详情这里就不说了,点击之处了解 ,现把主要的编排内容摘抄如下: kind: StatefulSet metadata: name: enervated-puma-elasticsearch labels: heritage: "Tiller"
k8s 日志收集es+ Filebeat +kibala
qq_40178286的博客
06-23 923
k8s 日志收集es+ Filebeat +kibala
【有手就行】filebeat+es+kibana收集Nginx日志
wxd5617的博客
12-04 4013
使用filebeat收集Nginx到es,在kibana进行查询~
日志收集filebeat使用介绍 -K8s
shizhiyi的博客
07-24 1696
版本:filebeat-7.12.0是关于k8s日志采集,部署方式是采用的方式,采集时按照k8s集群的进行分类,然后根据的名称创建不同的到kafka中一般情况下,容器中的日志在输出到标准输出(stdout)时,会以的命名方式保存在目录中,当然如果修改了的数据目录,那就是在修改后的数据目录中了,例如: 这里能看到,有这么个文件: ,然后k8s默认会在和目录中会生成这些日志文件的软连接,如下所示: 然后,会看到这个目录下存在了此宿主机上的所有容器日志,文件的命名方式为: 上面这个是的命名方式,其他
filebeat收集K8S日志,写入自动创建的索引
热门推荐
yanggd1987的专栏
09-08 1万+
需求 前面我们已经将SpringBoot项目部署在K8S中,此时需要filebeat收集日志并通过ELK进行展示,以用于后续的问题排查及监控。 与传统的日志收集不同: pod所在节点不固定,每个pod中运行filebeat,配置繁琐且浪费资源; pod的日志目录一般以emptydir方式挂载在宿主机,目录不固定,filebeat无法自动匹配; pod持续增多,filebeat需要做到自动检测并收集; 因此最后的收集方式为一个filebeat能够收集所有的pod日志,但是这就要求统一的日志收集规则、目录以
Filebeat on k8s 日志采集实战操作
匠人精神,持之以恒!
11-05 1572
Filebeat 是一个轻量级的开源日志文件和数据收集器,由 Elastic 公司开发,用于采集、解析和发送日志数据。在 Kubernetes 中,Filebeat通常用于采集容器日志,并将其发送到中央日志存储、分析或搜索工具,如 Elasticsearch、Logstash 或 Fluentd。
filebeat+es+kibana 日志采集
weixin_44259489的博客
08-25 451
filebeat+es+kibana 日志采集
k8s 安装filebeat使用 以及自定义filebeat.yml
随风往事
06-09 877
【代码】k8s 安装filebeat使用 以及自定义filebeat.yml。
Filebeat k8s 部署(Deployment)采集 PVC 日志发送至 Kafka——日志处理(二)
奔跑的蜗牛的博客
07-19 1262
在之前的文章中总结了如何配置 Django 项目的日志,将日志以 JSON 格式写入日志文件。 我们的项目服务是部署在 k8s 上的,日志是挂载在 PVC 中的,接下来我们需要使用 Filebeat 去采集 PVC 中的日志,发送至 kafka 中,本文将总结如何在 k8s 上部署 Filebeat, 来采集 PVC 中的日志
Filebeat+ElasticSearch+Kibana日志管理与可视化初学者指南
"Elasticsearch, FilebeatKibana 是一套强大的日志管理和分析解决方案,适合初学者和教育用途。本文将分享关于这三个组件的学习体会和应用实例。" 在日志管理和数据分析领域,Elastic Stack(之前称为 ELK ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值