filebeat-自动发现(autodiscover)

于 2024-07-12 23:21:23 发布
阅读量403 收藏 7
点赞数 10
分类专栏: filebeat 文章标签: 运维 elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/icepopfh/article/details/140390678
版权

前言

filebeat通过调用docker或k8s的api 发现容器或pod,根据获取到的信息来收集日志。
官网详解

Providers类型

docker

配置示例:

filebeat.autodiscover:
  providers:
    - type: docker
      templates:
        - condition:   # 满足条件的才采集
            contains:
              docker.container.image: redis
          config:
            - module: redis   # 使用filebeat自带的redis日志模板,也可以不使用
              log:
                input:
                  type: container
                  paths:
                    - /var/lib/docker/containers/${data.docker.container.id}/*.log

在key值上面不需要用data引用,就比如上面示例的docker.container.image。在value值上面需要用data引用,就比如上面配置示例的${data.docker.container.id}

配置模板中可以使用的字段

  • host
  • port
  • docker.container.id
  • docker.container.image
  • docker.container.name
  • docker.container.labels

示例:

{
  "host": "10.4.15.9",
  "port": 6379,
  "docker": {
    "container": {
      "id": "382184ecdb385cfd5d1f1a65f78911054c8511ae009635300ac28b4fc357ce51",
      "name": "redis",
      "image": "redis:3.2.11",
      "labels": {
        "io.kubernetes.pod.namespace": "default"
        ...
      }
    }
  }
}

通过data可以引用对应的字段,比如上面的示例使用${data.port}就是6379。

kubernetes

配置示例:

filebeat.autodiscover:
  providers:
    - type: kubernetes
      templates:
        - condition:   # 满足条件的才采集
            equals:
              kubernetes.container.image: "redis"
          config:
            - module: redis   # 使用filebeat自带的redis日志模板,也可以不使用
              log:
                input:
                  type: container
                  paths:
                    - /var/log/containers/*-${data.kubernetes.container.id}.log

配置模板中可以使用的字段

  1. 通用字段

    • host
    • port (exposed)
    • kubernetes.labels
    • kubernetes.annotations

  2. pod字段

    • kubernetes.container.id
    • kubernetes.container.image
    • kubernetes.container.name
    • kubernetes.namespace
    • kubernetes.node.name
    • kubernetes.pod.name
    • kubernetes.pod.uid

  3. node字段

    • kubernetes.node.name
    • kubernetes.node.uid

  4. svc字段

    • kubernetes.namespace
    • kubernetes.service.name
    • kubernetes.service.uid
    • kubernetes.annotations

示例:

{
  "host": "172.17.0.21",
  "port": 9090,
  "kubernetes": {
    "container": {
      "id": "bb3a50625c01b16a88aa224779c39262a9ad14264c3034669a50cd9a90af1527",
      "image": "prom/prometheus",
      "name": "prometheus"
    },
    "labels": {
      "project": "prometheus",
      ...
    },
    "namespace": "default",
    "node": {
      "name": "minikube"
    },
    "pod": {
      "name": "prometheus-2657348378-k1pnh"
    }
  },
}

通过data可以引用对应的字段,比如上面的示例使用${data.port}就是9090。

配置模板中的condition

支持的条件包括:

  • equals:等于,只能接受整数或字符串。
  • contains:包含,只能接受字符串。
  • regexp:正则匹配。
  • range:范围
    • lt:小于
    • lte:小于等于
    • gt:大于
    • gte:大于等于
  • network:是否在某个IP网络范围内。
  • has_fields:是否存在指定字段。
  • or:或
  • and:与
  • not:非

基于提示的自动发现

在 Kubernetes Pod 注释或 Docker 标签中找到带有前缀co.elastic.logs,并按照这个前缀的配置进行日志采集。

配置示例:

filebeat.autodiscover:
      providers:
        - type: kubernetes or docker
          node: ${NODE_NAME} # output时增加一个node字段
          hints.enabled: true # 开启基于提示的自动发现
          hints.default_config:
            type: container
            paths:
              - /var/log/containers/*${data.kubernetes.container.id}.log
  1. co.elastic.logs/enabled:默认是true采集所有容器日志,改为false的话会忽略该容器日志。
  2. co.elastic.logs/multiline.*:多行日志处理方式。
  3. co.elastic.logs/json.*:json解析模式处理。
  4. co.elastic.logs/include_lines:只收集匹配正则表达式的行。
  5. co.elastic.logs/exclude_lines:排除匹配正则表达式的行。
  6. co.elastic.logs/module:使用filebeat的日志模板。
  7. co.elastic.logs/fileset:文件集,还不知道具体怎么使用。
  8. co.elastic.logs/raw:将 filebeat.input 的配置转换成 json 字符串形式表示。
  9. co.elastic.logs/processors:配置处理器,filebeat的处理器有很多,还得具体了解下官网

高级用法appenders

由于很多配置可能是默认动态生成的,所以可能存在特殊情况不能使用默认配置。

配置示例:

filebeat.autodiscover:
  providers:
    - type: kubernetes
      templates:
        ...
      appenders:
        - type: config
          condition.equals:
            kubernetes.namespace: "prometheus"
          config:
            fields:
              type: monitoring

上面的配置是指满足kubernetes命名空间是prometheus条件的时候,则应用config的配置。如果不满足,则应用默认配置。

icepopfh
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
filebeat-7.2.0-linux-x86_64.tar.gz
04-20
- **日志收集**:监控和转发指定的日志文件,支持自动发现新的文件和动态日志路径。 - **心跳监测**:Filebeat 可以发送心跳信息到 Elasticsearch 或其他输出,用于健康检查和监控。 - **模块化设计**:预配置的...
filebeat7.3.2
03-18
Filebeat是 Elastic Stack 的一个重要组件,它是一款轻量级的日志收集工具,广泛应用于日志监控、日志传输和日志分析场景。标题"filebeat7.3.2"表明我们要讨论的是Filebeat的第7.3.2版本。在这个版本中,Filebeat...
kubernetes 场景下的 filebeat autodiscover 自动发现功能说明
wy
07-13 4092
# 在容器内运行应用时会成为 "移动目标" # 自动发现允许对其跟踪并在发生变化时调整设置,自动发现子系统通过定义配置模板可以在服务开始运行时对其进行监控 # 可在 filebeat.yml 中通过 filebeat.autodiscover.* 来定义自动发现设置 # -------------------------------------------------------------- Docker # Docker 自动发现提供程序监视容器的启动和停止,下面是每个事件的可用字段: hos.
kubernetes-filebeat自动发现容器日志
kozazyh的专栏
10-10 5930
version: filebeat 7.0.0 自动发现 在容器上运行应用程序时,它们会成为监视系统的移动目标。自动发现允许您跟踪它们并在发生变化时调整设置。通过定义配置模板,自动发现子系统可以在服务开始运行时对其进行监控。 您可以filebeat.autodiscover在filebeat.yml 配置文件的部分中定义自动发现设置 。要启用自动发现,请指定提供程序列表。 提供商 自动发现提...
filebeat使用docker-compose启动,收集docker和nginx日志
humanbeng的专栏
05-08 1254
安装elasticsearch # docker-compose.yml version: '3' services: es: image: "elasticsearch:7.12.0" container_name: es restart: always volumes: - ./data:/usr/share/elasticsearch/data - ./logs:/user/share/elasticsearch/logs envir
filebeat收集kubernetes集群日志
运维那些事儿
07-15 908
filebeat日志收集
Beats:在 Docker 里运行 Filebeat
Elastic 中国社区官方博客
03-12 7909
Docker是一套平台即服务(PaaS)产品,它使用操作系统级虚拟化来以称为容器的软件包交付软件。容器彼此隔离,并将它们自己的软件,库和配置文件捆绑在一起; 他们可以通过定义明确的渠道相互交流。所有容器都由单个操作系统内核运行,因此比虚拟机更轻便。在目前的很多IT的架构中,Docker的使用越来越普及。这很好,但是一旦有多个容器散布在多个节点上,就需要找到一种方法来跟踪其运行状况,存储,CPU和内...
filebeat 收集docker集群
这是一个将要崛起小达人
10-10 577
收集docker日志
filebeat 配置说明
wy
07-12 1147
https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-overview.html # 其主要由三部分构成: # https://www.elastic.co/guide/en/beats/filebeat/current/how-filebeat-works.html prospector "探测器" # 其管理所有 Harvsters 并找到所有需读取的数据源,启动时会启动一或若干 prospectors 探测器进程去检测指定
(k8s日志收集)kubernetes守护进程方式部署filebeat收集k8s集群容器日志elasticsearch+kibana+filebeat
爱音乐的程序猿的博客
09-13 2703
(k8s日志收集)EFK方式收集日志 k8s容器日志默认存储路径是/var/log/containers/ 一是可以通过直接linux系统部署方式,收集/var/log/containers/目录下k8s容器日志,每个节点都有这个目录 二是docker容器运行filebeat,并挂载/var/log/containers数据卷,这样也能收集日志 三是在k8s上使用守护进程的方式保证每个节点都运行一个filebeat实列,并且挂在数据卷/var/log/containers,类型是hostpath
再弹ELK+filebeat(二)
飞奔的小土豆@1024
03-23 1486
也不知道是不是升级的原因,还是一年前没有把搭建踩坑没记录下来,导致一年后的今天项目要使用 又要填坑一次 elk的搭建网上比较全而杂,官网https://www.elastic.co/guide/index.html清晰明了,会有部分小细节未。。安装方式和配置就不多说, 1:filebeat 采取宿主机安装,规避docker容器考虑到(filebeat)容器内读取各实例挂载的log文件,会比较繁...
autodiscover:PHP 中的电子邮件自动发现
06-18
自动发现 PHP 中的电子邮件自动发现 PHP 脚本为 Microsoft Outlook 和 Thunderbird 等开源邮件客户端动态生成自动发现信息。 生成的 XML 目前是为 Google for Business(Google Apps for Your Domain)设置的,并且...
AutoAutodiscover:托管用于自动发现的FileRegistry修改PowerShell脚本
04-27
自动发现托管用于自动发现的文件/注册表修改PowerShell脚本###如何使用### Run PowerShell ISE as admin From the PowerShell ISE menu, click on File, Open, locate the file named Add-Hosts-Entry-For-...
autodiscover-email-settings:在Microsoft Outlook上为IMAPPOPSMTPLDAP服务提供自动发现功能为Thunderbird提供Apple Mail和自动配置功能
05-11
自动发现电子邮件设置 创建此服务是为了自动发现您的提供商电子邮件设置。 它提供Microsoft Outlook / Apple Mail上的IMAP / POP / SMTP / LDAP自动发现功能,Thunderbird的自动配置功能以及iOS / Apple Mail的...
聊聊如何在内网下构建大模型微调环境
最新发布
python1234567_的博客
07-12 493
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
设备运维、教学直播...浅析远程控制在医疗专网环境下的应用
oray2013的专栏
07-11 322
随着跨院会诊的需求出现,安全高清的远程是为患者提供更加专业和全面的诊断意见的必要条件,医院内网下设备部署向日葵Q2Pro,同时为各类医院科室专家分配向日葵账号,当有远程诊疗需求发生时,医生仅需添加指定设备,即可在手机或电脑上发起远程操作,实时获取患者的检查数据,及时响应任何紧急情况。向日葵的远程系统采用了先进的RSA&AES非对称加密技术和安全协议,确保所有的数据传输都是安全的,其次使用控控接入医院内部的设备终端,使得控控上网,医院内部设备不联网,高度保障了医院内部的数据安全不被未授权访问。
昇腾环境下使用docker部署mindie-service
yuanlulu的博客
07-08 324
MindIE是基于昇腾硬件的运行加速、调试调优、快速迁移部署的高性能深度学习推理框架。它包含了MindIE-Service、MindIE-Torch和MindIE-RT等组件。我主要用MindIE-Service的功能,这个组件对标的是vllm这样的大语言推理框架。
Boost Security with SSH/SFTP Public
q2315702359的博客
07-08 1241
  SocketTools .NET Edition eliminates password vulnerabilities and simplifies access management for secure file transfers and server communication.  SocketTools .NET Edition by Catalyst Development Corp. is a development library designed to simplify adding
filebeat配置文件详解
07-27
Filebeat 是一个轻量级的开源日志文件数据收集器,它可用于将日志和事件数据从多个来源发送到诸如 Elasticsearch、Logstash、Kafka 等目的地。下面是 Filebeat 配置文件的详细解释: 1. `filebeat.inputs`: 这是一个数组,定义了要收集的日志文件的来源和类型。每个输入都包含一个 `type` 字段表示文件类型,如日志文件、系统日志等,以及相关的配置信息。 2. `filebeat.outputs`: 这也是一个数组,定义了将收集到的日志数据发送到的目的地。可以配置多个输出,例如 Elasticsearch、Logstash 等。每个输出通常包含一个 `hosts` 字段,表示要发送到的目标主机和端口。 3. `filebeat.modules`: 这是一个数组,定义了预定义模块的配置。预定义模块提供了对常见日志文件的结构化解析和分析功能,可以轻松集成到 Filebeat 中。 4. `filebeat.config.modules`: 这是一个布尔值,用于指定是否启用预定义模块。如果设置为 true,则 Filebeat 将加载并启用配置文件中定义的预定义模块。 5. `filebeat.autodiscover`: 这是一个对象,用于自动发现和动态管理容器化环境中的日志文件。可以根据特定的标签或其他条件自动配置输入。 6. `filebeat.registry.path`: 这是一个字符串,指定用于保存 Filebeat 状态和元数据的注册表文件的路径。注册表文件记录了已经发送的日志文件的位置,以便在重启后继续从上次中断的位置发送。 7. `filebeat.harvester.buffer_size`: 这是一个整数,表示每个 harvester(日志收集器)的缓冲区大小,用于在发送之前缓冲日志事件。 以上是一些常见的 Filebeat 配置文件的详细解释,你可以根据具体需求进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值