elfk收集k8s日志(三)

最新推荐文章于 2024-04-29 16:02:03 发布
最新推荐文章于 2024-04-29 16:02:03 发布
阅读量950 收藏 5
点赞数 1
分类专栏: ELFK Kubernetes 文章标签: kubernetes elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miss1181248983/article/details/106327696
版权

本文介绍通过elk + filebeat方式收集k8s日志,其中filebeat以sidecar方式部署。elfk最新版本:7.6.2

k8s日志收集方案

  • 3种日志收集方案:
1. node上部署一个日志收集程序

    Daemonset方式部署日志收集程序,对本节点 /var/log 和 /var/lib/docker/containers 两个目录下的日志进行采集
    
2. sidecar方式部署日志收集程序

    每个运行应用程序的pod中附加一个日志收集的容器,使用 emptyDir 共享日志目录让日志容器收集日志
    
3. 应用程序直接推送日志

    常见的如 graylog 工具,直接修改代码推送日志到es,然后在graylog上展示出来
  • 3种收集方案的优缺点:
方案 优点 缺点
1. node上部署一个日志收集程序 每个node仅需部署一个日志收集程序,消耗资源少,对应用无侵入 应用程序日志需要写到标准输出和标准错误输出,不支持多行日志
2. pod中附加一个日志收集容器 低耦合 每个pod启动一个日志收集容器,增加资源消耗
3. 应用程序直接推送日志 无需额外收集工具 侵入应用,增加应用复杂度

下面测试第1种方案:每个node上部署一个日志收集程序,注意elfk版本保持一致。

SideCar方式收集k8s日志

  • 主机说明:
系统 ip 角色 cpu 内存 hostname
CentOS 7.8 192.168.30.128 master、deploy >=2 >=2G master1
CentOS 7.8 192.168.30.129 master >=2 >=2G master2
CentOS 7.8 192.168.30.130 node >=2 >=2G node1
CentOS 7.8 192.168.30.131 node >=2 >=2G node2
CentOS 7.8 192.168.30.132 node >=2 >=2G node3
CentOS 7.8 192.168.30.133 test >=2 >=2G test
  • 搭建k8s集群:

搭建过程省略,具体参考:Kubeadm方式搭建k8s集群二进制方式搭建k8s集群

搭建完成后,查看集群:

kubectl get nodes

NAME      STATUS   ROLES    AGE     VERSION
master1   Ready    master   4d16h   v1.14.0
master2   Ready    master   4d16h   v1.14.0
node1     Ready    <none>   4d16h   v1.14.0
node2     Ready    <none>   4d16h   v1.14.0
node3     Ready    <none>   4d16h   v1.14.0

这里为了方便,直接使用之前的k8s集群,注意删除之前实验的k8s资源对象。

  • docker-compose部署elk:

部署过程参考:docker-compose部署elfk

mkdir /software & cd /software

git clone https://github.com/Tobewont/elfk-docker.git

cd elfk-docker/

echo 'ELK_VERSION=7.6.2' > .env             #替换版本

vim elasticsearch/Dockerfile

ARG ELK_VERSION=7.6.2

# https://github.com/elastic/elasticsearch-docker
FROM docker.elastic.co/elasticsearch/elasticsearch-oss:${ELK_VERSION}
# FROM elasticsearch:${ELK_VERSION}
# Add your elasticsearch plugins setup here
# Example: RUN elasticsearch-plugin install analysis-icu

vim elasticsearch/config/elasticsearch.yml 

---
## Default Elasticsearch configuration from Elasticsearch base image.
## https://github.com/elastic/elasticsearch/blob/master/distribution/docker/src/docker/config/elasticsearch.yml
#
cluster.name: "docker-cluster"
network.host: "0.0.0.0"

## X-Pack settings
## see https://www.elastic.co/guide/en/elasticsearch/reference/current/setup-xpack.html
#
#xpack.license.self_generated.type: trial        #trial为试用版,一个月期限,可更改为basic版本
#xpack.security.enabled: true
#xpack.monitoring.collection.enabled: true

#http.cors.enabled: true
#http.cors.allow-origin: "*"
#http.cors.allow-headers: Authorization,X-Requested-With,Content-Length,Content-Type

vim kibana/Dockerfile 

ARG ELK_VERSION=7.6.2

# https://github.com/elastic/kibana-docker
FROM docker.elastic.co/kibana/kibana-oss:${ELK_VERSION}
# FROM kibana:${ELK_VERSION}

# Add your kibana plugins setup here
# Example: RUN kibana-plugin install <name|url>

vim kibana/config/kibana.yml 

---
## Default Kibana configuration from Kibana base image.
## https://github.com/elastic/kibana/blob/master/src/dev/build/tasks/os_packages/docker_generator/templates/kibana_yml.template.js
#
server.name: "kibana"
server.host: "0.0.0.0"
elasticsearch.hosts: [ "http://elasticsearch:9200" ]
# xpack.monitoring.ui.container.elasticsearch.enabled: true

## X-Pack security credentials
#
# elasticsearch.username: elastic
# elasticsearch.password: changeme

vim logstash/Dockerfile

ARG ELK_VERSION=7.6.2

# https://github.com/elastic/logstash-docker
FROM docker.elastic.co/logstash/logstash-oss:${ELK_VERSION}
# FROM logstash:${ELK_VERSION}

# Add your logstash plugins setup here
# Example: RUN logstash-plugin install logstash-filter-json

RUN logstash-plugin install logstash-filter-multiline

vim logstash/config/logstash.yml 

---
## Default Logstash configuration from Logstash base image.
## https://github.com/elastic/logstash/blob/master/docker/data/logstash/config/logstash-full.yml
#
http.host: "0.0.0.0"
#xpack.monitoring.elasticsearch.hosts: [ "http://elasticsearch:9200" ]

## X-Pack security credentials
#
#xpack.monitoring.enabled: true
#xpack.monitoring.elasticsearch.username: elastic
#xpack.monitoring.elasticsearch.password: changeme
#xpack.monitoring.collection.interval: 10s

vim logstash/pipeline/logstash.conf             #如果filebeat配置文件中没有配置多行合并,可以在logstash中进行多行合并

input {
    beats {
        port => 5040
    }
}

filter {
    if [type] == "nginx_access" {
        #multiline {
            #pattern => "^\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}"
            #negate => true
            #what => "previous"
        #}

        grok {
            match => [ "message", "%{IPV4:remote_addr} - (%{USERNAME:user}|-) \[%{HTTPDATE:log_timestamp}\] \"%{WORD:method} %{DATA:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:status} %{NUMBER:bytes} %{QS:referer} %{QS:agent} %{QS:xforward}" ]
        }
    }
    
    if [type] == "nginx_error" {
        #multiline {
            #pattern => "^\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}"
            #negate => true
            #what => "previous"
        #}

        grok {
            match => [ "message", "%{IPV4:remote_addr} - (%{USERNAME:user}|-) \[%{HTTPDATE:log_timestamp}\] \"%{WORD:method} %{DATA:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:status} %{NUMBER:bytes} %{QS:referer} %{QS:agent} %{QS:xforward}" ]
        }
    }
    
    if [type] == "tomcat_catalina" {
        #multiline {
            #pattern => "^\d{1,2}-\S{3}-\d{4}\s\d{1,2}:\d{1,2}:\d{1,2}"
            #negate => true
            #what => "previous"
        #}

        grok {
            match => [ "message", "(?<timestamp>%{MONTHDAY}-%{MONTH}-%{YEAR} %{TIME}) %{LOGLEVEL:severity} \[%{DATA:exception_info}\] %{GREEDYDATA:message}" ]
        }
    }
}

output {
    if [type] == "nginx_access" {
        elasticsearch {
            hosts => ["elasticsearch:9200"]
            #user => "elastic"
            #password => "changeme"
            index => "nginx-access"
        }
    }
    
    if [type] == "nginx_error" {
        elasticsearch {
            hosts => ["elasticsearch:9200"]
            #user => "elastic"
最低0.47元/天 解锁文章
最爱喝酸奶
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK 日志收集系统方案
qq_38130094的博客
03-31 1688
背景 在项目初期的时候,大家都是赶着上线,一般来说对日志没有过多的考虑,当然日志量也不大,所以用log4j就够了,随着应用的越来越多,日志散落在各个服务器的logs文件夹下,确实有点不大方便。或者是分布式系统:当我们需要日志分析的时候你大概会这么做:直接在日志文件中 grep、awk就可以获得自己想要的信息。这就造成了日志查询极其繁琐;如果日志中有敏感数据,也要考虑是否开放给所有人 可能遇到的问题: 日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询 应用太多,面临数十上百台应用时你该怎么办,随意登录
【分布式应用】ELFK集群部署与Logstash的过滤模块
在熙丶的博客
07-05 744
文章目录一、ELFK集群部署(Filebeat+ELK)1.1 部署ELK集群1.2 安装 Filebeat(在apache节点操作)1.3 设置 filebeat 的主配置文件1.4 在 Logstash 组件所在节点上新建一个 Logstash 配置文件1.5、浏览器访问二、Logstash的过滤模块2.1 Logstash配置文件中的模块2.2 Filter(过滤模块)中的插件 一、ELFK集群部署(Filebeat+ELK) ELFK= ES + logstash+filebeat+kibana
kubernetes中使用ELK进行日志收集
weixin_39941298的博客
04-29 1501
我们这里底层的容器引擎使用的是Docker,且宿主机上的systemd服务可用。因此,我们这里k8s集群系统的日志文件在宿主机的“/var/log”目录下。
ElasticSearch,Logstash 7.X性能监控,KIbana展示
u011311291的博客
02-28 3775
ES #xpack.monitoring.enabled: true #xpack.monitoring.elasticsearch.collection.enabled: true #xpack.monitoring.collection.indices: class_01 #xpack.ml.enabled: false #xpack.graph.enabled: false #xpack.w...
ELFK(filebeat)部署
khvbjhb的博客
10-07 140
ELFK(filebeat)部署
Observability:集群监控 (一) - Elastic Stack 8.x
Elastic 中国社区官方博客
10-17 2464
你可以在我之前文章 “” 的 “” 找到相关的 Elastic Stack 监控的文章。在那些文章里,所有的理论还是成立的,只不过在最新的 Elastic Stack 8.0 出现后,由于 HTTPS 访问变成了默认的配置,需要有一些额外的配置,而且界面有所改变。在今天的文章中,我来详细地介绍如何在 Elastic Stack 8.0 平台下监控 Elastic Stack。
ELFK日志收集日志文件范例
12-21
ELFK日志收集日志文件范例
ELK/ELFK(7.3 ) 企业PB级日志系统实战
06-17
Elastic Stack日志系统是目前企业应用广泛的一套日志解决方案。 ? 包含的组件有Filebeat,Logstash,Elastic...此教程足以能承担PB级的日志收集系统的量。 此教程的背景介绍请参阅我的CSDN博客,置顶内容的第一篇博文。
AGou-ops#beforeWork#Kafka+ELFK分布式日志收集1
07-25
使用背景由于ELFK的局限性,随着Beats 收集的每秒数据量越来越大,Logstash可能无法承载这么大量日志的处理。虽然说,可以增加 Logstash 节点
ELFK离线安装包,解压rpm直接安装
12-21
ELFK(Elasticsearch, Logstash, Fluentd, Kibana)是一套广泛使用的日志管理和分析工具,常被用于构建高效、灵活的日志收集、处理、存储和可视化的解决方案。这个离线安装包提供了在没有网络连接或者网络环境受限的...
ELFK docker镜像-7.1.0版本(kibana、logstash)
最新发布
06-13
ELFK docker镜像-7.1.0版本(kibana、logstash) 剩余两个镜像文件在: https://download.csdn.net/download/liu_chen_yang/89427498 ELFK docker镜像-7.1.0版本(elasticsearchfilebeat) 可能里面打了好几层...
K8S监控实战-ELK收集K8S内应用日志
qq_43076479的博客
08-18 2842
1 收集K8S日志方案 K8s系统里的业务应用是高度“动态化”的,随着容器编排的进行,业务容器在不断的被创建、被摧毁、被漂移、被扩缩容… 我们需要这样一套日志收集、分析的系统: 收集 – 能够采集多种来源的日志数据(流式日志收集器) 传输 – 能够稳定的把日志数据传输到中央系统(消息队列) 存储 – 可以将日志以结构化数据的形式存储起来(搜索引擎) 分析 – 支持方便的分析、检索方法,最好有GUI管理系统(web) 警告 – 能够提供错误报告,监控机制(监控系统) 1.1 传统ELk模型缺点:
Elasticsearch及ELK使用(二):日志数据采集
zyplanke的专栏
06-26 4499
上一篇结束了Elasticsearch和kibana的安装和基本使用。本文介绍日志数据采集(也叫日志采集),涉及filebeat的软件和logstash软件。 本文分别介绍了从日志文件采集和从数据库(MySQL)中采集。
使用ELK收集网络设备日志的案例
热门推荐
qq_40907977的博客
11-11 1万+
简介 随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。 系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志; 2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的; 3、在某些非法侵入的情况下,侵入者一般都会清除本地日志,清除侵入痕迹; 4、zabbix等监控系统无法代替日...
基于ELK系统的设备日志自动化抓取及可视化解决方案
xxxxxxxxxxxaa的博客
08-29 1531
我们部署并开发了基于ELK系统的日志抓取及可视化分析工具,该工具能够实时监控设备的状态信息(充电状态,电量等)。当状态信息的变化触发了特定条件时,设备会自动抓取日志并传入Elasticsearch数据库。此外,该平台可以很方便地扩展至多设备而不需要额外的操作。......
ELFK日志分析系统(六)之搭建ELK+Filebeat+Kafka+Zookeeper
qq_45088125的博客
07-07 1932
ELK日志分析系统(一)之ELK原理 ELK日志分析系统(二)之ELK搭建部署 ELFK日志分析系统()之Filebeat ELFK日志分析系统(四)之Kafka ELFK日志分析系统(五)之Zookeeper随着业务量的增长,每天业务服务器将会产生上亿条的日志,单个日志文件达几个GB,这时我们发现用Linux自带工具,cat grep awk 分析越来越力不从心了,而且除了服务器日志,还有程序报错日志,分布在不同的服务器,查阅繁琐。待解决的痛点: 整体的架构如上图所示这个架构图从左到右,总共分为5层,每
Kubernetes statefulset有状态应用
小楼一夜听春雨,深巷明朝卖杏花
10-09 550
StatefulSets Kubernetes通过控制器维护所需的配置状态。Deployment、ReplicaSet、DaemonSet和StatefulSet就是一些常用的控制器。 StatefulSet是一种特殊类型的控制器,它可以使Kubernetes中运行集群工作负载变得很容易。集群工作负载通常有一个或多个主服务器(Masters)和多个从服务器(Slaves)。大多数数据库都以集群模式设计的,这样可以提供高可用性和容错能力。 有状态集群工作负载持续地在Masters和Slaves之间复制数
基于ELK的日志收集分析系统(Elasticsearch+Filebeat+Kibana)
泛音青年的博客
07-20 554
前言 痛点: 传统意义上,查找日志都是通过shell等工具登陆服务器后台去相应的日志目录下查看log文件,特别是联调、测试时,我们需要通过tail -f 、grep 'xxx’等命令,肉眼观察日志,如果是一个复杂的业务流程,则需要辗转多个日志目录下,并且没有统计分析等功能。 思考: 对于我们的业务系统,现在已经存在了一套日志收集系统(syslog+flume+kafka+elasticsearch),但是是基于核心业务,收集的都是需要做分析统计和机器学习的业务日志,对于研发人员来说,需要关心的是程序运行时l
为什么 ELFK 中会使用 Filebeat 替代 Logstash
07-17
ELFK 是一个常用的日志管理解决方案,其中的 "F" 代表 Filebeat,"L" 代表 Logstash,"K" 代表 Kibana,"E" 代表 Elasticsearch。 在 ELFK 中,Filebeat 和 Logstash 都可以用来收集和处理日志数据,但是它们有不同的特点和适用场景。 Filebeat 是一个轻量级的日志收集工具,可以直接读取日志文件并将数据传输到 Elasticsearch 或者 Logstash 进行处理和存储。Filebeat 的设计目标是简单高效,它可以实时监控日志文件的变化,并将变动的内容传输到下游处理组件。Filebeat 仅需占用较少的系统资源,适合在资源有限的环境中使用。 Logstash 是一个功能强大的数据处理工具,可以实现复杂的日志数据转换、过滤和分析。Logstash 支持多种输入和输出插件,可以从各种不同的数据源中采集数据,并将处理后的数据发送到多个目标。Logstash 的配置相对复杂,需要定义输入、过滤和输出等多个阶段,适合处理复杂的日志处理场景。 在选择 Filebeat 还是 Logstash 时,可以根据具体需求和环境来决定。如果日志收集和传输的需求相对简单,可以选择使用 Filebeat;如果需要复杂的日志处理和转换,或者需要与其他数据源进行集成,可以选择使用 Logstash。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值