k8s部署elk+filebeat+logstash+kafka集群(三)logstash部署

已于 2022-10-13 16:01:17 修改
阅读量1.9k 收藏 2
点赞数
分类专栏: elk 文章标签: kubernetes elk kafka
于 2022-09-30 16:12:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/filtercomp/article/details/127125138
版权

logstash采用statefulset或者deployment部署均可,本文采用deployment
过滤条件根据实际环境的日志结构自行配置
configmap配置文件

# cat logstash-cm.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: logstash-configmap
  namespace: elk
  labels:
    app: logstash-cm
data:
  logstash.conf: |-
        input {
                kafka {
                        bootstrap_servers => ["kafka-kraft-statefulset-0.kafka-kraft-svc:9091,kafka-kraft-statefulset-1.kafka-kraft-svc:9091,kafka-kraft-statefulset-2.kafka-kraft-svc:9091"]
                        client_id => "k8s_logstash"
                        group_id => "k8s"
                        auto_offset_reset => "latest"
                        consumer_threads => 3
                        decorate_events => false
                        topics => ["k8s","nginx-access-log","nginx-error-log"]
                        codec => "json"
                }
        }
        input {
                beats {
                        host => "0.0.0.0"
                        port => 5044
                        codec => json
                }
        }
				filter {
              #json {
              #source => "msg"
              #remove_field => [ "msg" ]
              #}
                if "nginx-access" in [tags] {

                        grok {
                                match => { "message" => "%{IPORHOST:clientip} --- .* \[%{HTTPDATE:timestamp}\]\s(?<method>\S+)\s(?<uri>\/(\S)+)\s(?<protocol>(HTTP|HTTPS)\S+)\s-\s(?<response>\d+)\s" }
                        }
                        date {
                                match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
                                target => "@timestamp"

                        }
                        mutate {
                                remove_field => ["agent","event","host","@version","cloud","input","ecs","container","offset"]
                        }

                }
                if [fields][log_topic] == "k8s" {
                        mutate {
                                remove_field => ["log","agent","ecs","kubernetes","host","container"]
                        }
                }
        }
				output {
				 			 # 输出到控制台方便我们查看日志时候能看到消费的数据,这块会导致采集的容器日志量十分庞大,后面可以去掉,前期观察用
                stdout {
                        codec => rubydebug
                        codec => json
                }
                if  "k8s" in [tags] {
                        elasticsearch {
                                hosts => ["es-svc:9200"]
                        index => "k8slog-%{+YYYY.MM.dd}"
                        }

                }

                if  "nginx-access" in [tags] {
                        elasticsearch {
                                hosts => ["es-svc:9200"]
                                index => "nginx-access-%{+YYYY.MM.dd}"
                        }

                }

                if [@metadata][kafka][topic] == "nginx-error-log" {
                        elasticsearch {
                        hosts => ["es-svc:9200"]
                        index => "nginx-error-%{+YYYY.MM.dd}"
                        }
                }
        }

部署logstash

# cat logstash.yaml

# logstash.yml配置文件
apiVersion: v1
kind: ConfigMap
metadata:
  name: logstash-yml
  namespace: elk
  labels:
    type: logstash
data:
  logstash.yml: |-
    http.host: "0.0.0.0"
    xpack.monitoring.elasticsearch.hosts: http://es-svc:9200
    xpack.monitoring.enabled: true
---
# logstash-svc 如果不部署kafka的可以暴露30044端口让外部filebeat推送数据
apiVersion: v1
kind: Service
metadata:
  name: logstash-svc
  namespace: elk
  labels:
    app: logstash
spec:
  type: NodePort
  clusterIP: 10.96.100.101
  selector:
    app: logstash-8.1.0
  ports:
  - name: logstashport
    port: 5044
    targetPort: logport
    protocol: TCP
    nodePort: 30044
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: logstash-deployment
  namespace: elk
spec:
  replicas: 2
  selector:
    matchLabels:
        app: logstash-8.1.0
  template:
    metadata:
      labels:
          app: logstash-8.1.0
    spec:
      containers:
      - name: logstash
        image: 3.127.33.174:8443/elk/logstash:8.1.0
        imagePullPolicy: IfNotPresent
        env:
        - name: ES_JAVA_OPTS
          value: "-Xms512m -Xmx512m"
				- name: TZ
          value: Asia/Shanghai
        ports:
        - name: logport
          containerPort: 5044
          protocol: TCP
        command: ["logstash","-f","/usr/share/logstash/config/logstash.conf"]
        resources:
          limits:
            cpu: 1000m
            memory: 8192Mi
          requests:
            cpu: 500m
            memory: 2000Mi
        volumeMounts:
        - name: logstash-config
					mountPath: /usr/share/logstash/config/logstash.conf
          subPath: logstash.conf
        - name: timezone
          mountPath: /etc/localtime
        - name: logstash-yml
          mountPath: /usr/share/logstash/config/logstash.yml
          subPath: logstash.yml
      volumes:
      - name: logstash-config
        configMap:
          name: logstash-configmap
#          defaultMode: 0644
      - name: timezone
        hostPath:
          path: /etc/localtime
      - name: logstash-yml
        configMap:
          name: logstash-yml
#          defaultMode: 0644
      tolerations:
      - key: node-role.kubernetes.io
        effect: NoSchedule
        operator: Equal
        value: master
      - effect: NoSchedule
        operator: Exists
      affinity:
        nodeAffinity:
          preferredDuringSchedulingIgnoredDuringExecution:
          - weight: 1
						preference:
              matchExpressions:
              - key: node
                operator: In
                values:
                - master1
                - node1

查看容器kubectl get pods -n elk | grep logstash
在这里插入图片描述查看容器日志是否消费到数据 kubectl logs -f --tail 20 logstash-deployment-755c957557-b9n7s -n elk
在这里插入图片描述至此elk搭建完毕

filtercomp
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S 部署 logstash 解析 nginx log 接入ELK_logstash-8
2401_83739472的博客
04-15 986
- name: local-registry-key #私服账号secret资源名称,需要单独创建:kubectl create secret generic…详见:https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/pull-image-private-registry/cpu: “1000m” #1000m=1cpu (cpu物理线程)name: logstash-config #es-010配置。
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第二种类型是...
k8s部署elk+filebeat+logstash+kafka集群(一)ES集群+kibana部署
filtercomp的博客
09-29 2673
这次是在部署后很久才想起来整理了下文档,如有遗漏见谅,期间也遇到过很多坑有些目前还没头绪希望有大佬让我学习下
【Kubernetes 企业项目实战】04、基于 K8s 构建 EFK+logstash+kafka 日志平台(下)
Stars.Sky 的博客
01-19 3264
基于 EFK+logstash+kafka 构建高吞吐量的日志平台
ELK日志集成(filebeat+kafka+logstash+elasticsearch+kibana)
gangye19970101的博客
08-12 947
1、日志文件准备 首先日志集成json格式,这个在我搭建的项目案例中的logback-spring.xml中有过配置如何将日志转成json格式,具体参考gitee项目的logback-spring.xml配置,也可参考之前写过的一篇文章。 2、安装filebeat 在应用启动的机器上安装filebeat,将日志推送到kafka集群中 ...
【Kubernetes 企业项目实战】04、基于 K8s 构建 EFK+logstash+kafka 日志平台(上)
Stars.Sky 的博客
01-18 2749
EFK 组件详细介绍!!!
(十八)从零开始搭建k8s集群——使用KubeSphere管理平台搭建logstash服务
厉害哥哥的博客
05-05 2722
logstashELK日志管理服务的重要组件之一,本节内容我们实现使用kubesphere管理平台搭建一个可横向扩展的高可用logstash服务,用于日志收集。由于logstash是一个无状态的流处理软件,本身是没有集群方案的,我们这里只是做一个横向扩展。使用的镜像版本为logstash:8.1.3,这个要与前面elasticsearch的版本号一致,负责可能会有版本不兼容,发生未知的错误。
基于K8S部署filebeatlogstash并输出到java程序中
文涛的专栏
11-25 1774
以守护进程的方式运行FilebeatFilebeat将采集日志通过logstash发送的JAVA程序中,再由JAVA程序处理后,集中存储起来。每个POD中额外增加一个Filebeat容器,Filebeat通过文件共享方式,读取相应的日志并通过logstash发送到JAVA程序中。DaemonSet方式采集容器的标准输出,如果有特殊需求,再通过Sidecar方式定制采集日志即可。至此,便可获得logstash发送过来的日志信息了,容器日志均是Json格式。采集K8S集群的容器日志,并集中存储。
K8S 部署 logstash 解析 nginx log 接入ELK
fireshark
03-18 1045
使用k8s 部署 logstash 解析 nginx access log 并接入到 ELK
K8S 部署 logstash 解析 nginx log 接入ELK,2024年最新Linux运维-App的设计架构经验谈
2301_79988566的博客
04-09 719
外链图片转存中…(img-CY1cFrsI-1712667464647)]
14.Kafka系列之K8S部署集群
算法小生
05-21 2087
Apache Kafka 不依赖 Apache Zookeeper的版本,被社区称之为 Kafka Raft 元数据模式,简称KRaft模式。KRaft运行模式的Kafka集群,不会将元数据存储在 Apache ZooKeeper中。即部署新集群的时候,无需部署ZooKeeper集群,因为Kafka将元数据存储在 Controller 节点的 KRaft Quorum中。
ELK+FileBeat+Kafka分布式系统搭建图文教程.pdf
06-15
1.filebeat收集需要提取的日志文件,将日志文件转存到kafka集群中,logstash处理kafka日志,格式化处理,并将日志输出到elasticsearch中,前台页面通过kibana展示日志。 2.使用kafka集群做缓存层,而不是直接将...
ELK+KAFKA+FILEBEAT
08-02
ELKF是 Elastic + Logstash + Kibana + FileBeat 四个组件的组合。本文基于elastic 6.1.1讲解一个基于日志文件的ELKF平台的搭建过程。 在这个系统中,Elastic充当一个搜索引擎,Logstash为日志分析上报系统,...
StirngBoot+ELK+Kafka记录日志,超详细搭建过程!
01-20
实现功能 1.可视化展示日志 2.根据日记等级,日志内容,时间匹配日志 3.日志流,可以感觉条件筛选 可以非常快速的查询StirngBoot日志,达到出现异常及时告警,异常分类统计功能。...三.ELK环境搭建 四.
使用kubernetes部署ELK日志系统
07-24
使用kubernetes部署ELK日志系统
kubernetes上部署ELK集群
你说亮不亮的博客
01-11 5225
一、系统架构 IP 角色 主机名 192.168.1.3 master master1 192.168.1.4 master master2 192.168.1.5 master master3 192.168.1.6 node node1 192.168.1.7 node node2 二、创建StorageClass和Namespace 1、创建StorageClass [root@master1 ~]# mkdir -p /elk/{master,data,clien
k8s组件错误日志收集-filebeat-logtash配置
x10n9的博客
12-21 1993
日志格式: Log line format: [IWEF]mmdd hh:mm:ss.uuuuuu threadid file:line] msg 如下:E1221 13:53:13.024436 4853 controller.go:152] Unable to remove old endpoints from kubernetes service: StorageError: key not found, Code: 1, Key: /registry/masterleases/172.30.1
在k8s中部署Logstash多节点示例(超详细讲解)
最新发布
博客虽小,世界尽在其中
06-07 675
本文全面介绍了如何在Kubernetes(K8s)环境中部署和配置Logstash多节点集群的详细步骤。Logstash是一款强大的日志收集、处理和转发的开源工具,而Kubernetes作为容器编排的领先平台,为Logstash提供了高可用性和扩展性的理想环境。 文章首先概述了Logstash在日志管理中的重要性,并解释了为什么选择在Kubernetes中部署Logstash多节点集群。随后,详细阐述了整个部署过程,包括必要的准备工作、环境配置、Docker镜像构建、Kubernetes资源定义
k8s部署elasticsearch及kibana
李少侠
03-07 4041
文章目录Elasticsearch生成密码相关secretvalue.yaml部署esKibanavalue.yaml:部署kibana部署结果 elastic官方提供了efk相关charts以供我们使用k8s部署efk。 elastic charts:https://github.com/elastic/helm-charts.git 目录结构如下: $ cd helm-charts && tree -L 1 . ├── apm-server ├── elasticsearch ├── f
ELK+kafka+reyslog+filebeat企业级部署
05-20
ELK(Elasticsearch、Logstash、Kibana)是一个开源的日志管理和分析平台,能够帮助企业收集、存储、搜索、分析和可视化各种类型的日志数据。而Kafka是一个高吞吐量的分布式消息队列系统,可以用来收集和传输大规模的日志数据。Reyslog是一个开源的日志收集器,可以帮助企业从各种不同的数据源中收集日志数据。Filebeat是一个轻量级的日志收集工具,可以帮助企业从各种不同的文件中收集日志数据。 以下是ELK+kafka+reyslog+filebeat企业级部署的步骤: 1. 安装和配置Elasticsearch、Logstash和Kibana,并确保它们能够正常运行。可以使用docker-compose等工具来简化部署过程。 2. 安装和配置Kafka,并创建一个主题(topic)用于存储日志数据。 3. 安装和配置Reyslog,并将其配置为从各种不同的数据源中收集日志数据,并将其发送到Kafka主题(topic)中。 4. 安装和配置Filebeat,并将其配置为从各种不同的文件中收集日志数据,并将其发送到Kafka主题(topic)中。 5. 在Kibana中创建一个索引(index),并定义一个包含所有必需字段的映射(mapping)。然后,使用Logstash来将从Kafka主题(topic)中接收到的日志数据转换为适合索引(index)的格式,并将其存储在Elasticsearch中。 6. 在Kibana中创建一个仪表板(dashboard),并使用其可视化功能来呈现和分析日志数据。可以使用各种不同的可视化插件来创建自定义可视化效果。 7. 部署整个系统,并定期监控其性能和可用性,以确保其正常运行。 总之,ELK+kafka+reyslog+filebeat企业级部署需要进行一系列复杂的配置和设置,需要具备一定的技术知识和实践经验。建议企业可以考虑使用专业的日志管理和分析平台,如Splunk等,以简化部署和管理过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值