K8s上搭建 EFK 日志收集系统

最新推荐文章于 2024-04-17 23:15:48 发布
最新推荐文章于 2024-04-17 23:15:48 发布
阅读量578 收藏 2
点赞数
分类专栏: Kubernetes 文章标签: elk kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23191379/article/details/123994613
版权

文章目录


说明: k8s集群已支持nfs做es数据存储

创建命名空间

  • ns.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: efk

创建es集群

  • es.yaml
kind: Service
apiVersion: v1
metadata:
  name: elasticsearch
  namespace: efk
  labels:
    app: elasticsearch
spec:
  selector:
    app: elasticsearch
  clusterIP: None
  ports:
    - port: 9200
      name: rest
    - port: 9300
      name: inter-node
      
---      
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: es
  namespace: efk
spec:
  serviceName: elasticsearch
  replicas: 3
  selector:
    matchLabels:
      app: elasticsearch
  template:
    metadata:
      labels: 
        app: elasticsearch
    spec:
      initContainers:
      - name: increase-vm-max-map
        image: busybox
        command: ["sysctl", "-w", "vm.max_map_count=262144"]
        securityContext:
          privileged: true
      - name: increase-fd-ulimit
        image: busybox
        command: ["sh", "-c", "ulimit -n 65536"]
        securityContext:
          privileged: true
      containers:
      - name: elasticsearch
        image: docker.elastic.co/elasticsearch/elasticsearch:7.6.2
        ports:
        - name: rest
          containerPort: 9200
        - name: inter
          containerPort: 9300
        resources:
          limits:
            cpu: 1000m
          requests:
            cpu: 1000m
        volumeMounts:
        - name: data
          mountPath: /usr/share/elasticsearch/data
        env:
        - name: cluster.name
          value: k8s-logs
        - name: node.name
          valueFrom:
            fieldRef:
              fieldPath: metadata.name
        - name: cluster.initial_master_nodes
          value: "es-0,es-1,es-2"
        - name: discovery.zen.minimum_master_nodes
          value: "2"
        - name: discovery.seed_hosts
          value: "elasticsearch"
        - name: ES_JAVA_OPTS
          value: "-Xms512m -Xmx512m"
        - name: network.host
          value: "0.0.0.0"
  volumeClaimTemplates:
  - metadata:
      name: data
      labels:
        app: elasticsearch
    spec:
      accessModes: [ "ReadWriteOnce" ]
      storageClassName: nfs-storage
      resources:
        requests:
          storage: 50Gi

部署Fluentd

  • fluentd-daemonset.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: fluentd-es
  namespace: efk
  labels:
    k8s-app: fluentd-es
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: fluentd-es
  labels:
    k8s-app: fluentd-es
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
rules:
- apiGroups:
  - ""
  resources:
  - "namespaces"
  - "pods"
  verbs:
  - "get"
  - "watch"
  - "list"
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: fluentd-es
  labels:
    k8s-app: fluentd-es
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
subjects:
- kind: ServiceAccount
  name: fluentd-es
  namespace: efk
  apiGroup: ""
roleRef:
  kind: ClusterRole
  name: fluentd-es
  apiGroup: ""
---
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: fluentd-es
  namespace: efk
  labels:
    k8s-app: fluentd-es
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
spec:
  selector:
    matchLabels:
      k8s-app: fluentd-es
  template:
    metadata:
      labels:
        k8s-app: fluentd-es
        kubernetes.io/cluster-service: "true"
      # 此注释确保如果节点被驱逐,fluentd不会被驱逐,支持关键的基于 pod 注释的优先级方案。
      annotations:
        scheduler.alpha.kubernetes.io/critical-pod: ''
    spec:
      serviceAccountName: fluentd-es
      containers:
      - name: fluentd-es
        image: quay.io/fluentd_elasticsearch/fluentd:v3.0.1
        env:
        - name: FLUENTD_ARGS
          value: --no-supervisor -q
        resources:
          limits:
            memory: 500Mi
          requests:
            cpu: 100m
            memory: 200Mi
        volumeMounts:
        - name: varlog
          mountPath: /var/log
        - name: varlibdockercontainers
          mountPath: /data/docker/containers  ##docker 的根目录/data/docker
          readOnly: true
        - name: config-volume
          mountPath: /etc/fluent/config.d
      tolerations:
      - operator: Exists
      terminationGracePeriodSeconds: 30
      volumes:
      - name: varlog
        hostPath:
          path: /var/log
      - name: varlibdockercontainers
        hostPath:
          path: /data/docker/containers ##docker 的根目录/data/docker
      - name: config-volume
        configMap:
          name: fluentd-config
  • fluentd-configmap.yaml
kind: ConfigMap
apiVersion: v1
metadata:
  name: fluentd-config
  namespace: efk
data:
  system.conf: |-
    <system>
      root_dir /tmp/fluentd-buffers/
    </system>
  containers.input.conf: |-
    <source>
      @id fluentd-containers.log
      @type tail                              # Fluentd 内置的输入方式,其原理是不停地从源文件中获取新的日志。
      path /var/log/containers/*.log          # 挂载的服务器Docker容器日志地址
      pos_file /var/log/es-containers.log.pos
      tag raw.kubernetes.*                    # 设置日志标签
      read_from_head true
      <parse>                                 # 多行格式化成JSON
        @type multi_format                    # 使用 multi-format-parser 解析器插件
        <pattern>
          format json                         # JSON解析器
          time_key time                       # 指定事件时间的时间字段
          time_format %Y-%m-%dT%H:%M:%S.%NZ   # 时间格式
        </pattern>
        <pattern>
          format /^(?<time>.+) (?<stream>stdout|stderr) [^ ]* (?<log>.*)$/
          time_format %Y-%m-%dT%H:%M:%S.%N%:z
        </pattern>
      </parse>
    </source>
    # 在日志输出中检测异常,并将其作为一条日志转发 
    # https://github.com/GoogleCloudPlatform/fluent-plugin-detect-exceptions
    <match raw.kubernetes.**>           # 匹配tag为raw.kubernetes.**日志信息
      @id raw.kubernetes
      @type detect_exceptions           # 使用detect-exceptions插件处理异常栈信息
      remove_tag_prefix raw             # 移除 raw 前缀
      message log                       
      stream stream                     
      multiline_flush_interval 5
      max_bytes 500000
      max_lines 1000
    </match>

    <filter **>  # 拼接日志
      @id filter_concat
      @type concat                # Fluentd Filter 插件,用于连接多个事件中分隔的多行日志。
      key message
      multiline_end_regexp /\n$/  # 以换行符“\n”拼接
      separator ""
    </filter> 

    # 添加 Kubernetes metadata 数据
    <filter kubernetes.**>
      @id filter_kubernetes_metadata
      @type kubernetes_metadata
    </filter>

    # 修复 ES 中的 JSON 字段
    # 插件地址:https://github.com/repeatedly/fluent-plugin-multi-format-parser
    <filter kubernetes.**>
      @id filter_parser
      @type parser                # multi-format-parser多格式解析器插件
      key_name log                # 在要解析的记录中指定字段名称。
      reserve_data true           # 在解析结果中保留原始键值对。
      remove_key_name_field true  # key_name 解析成功后删除字段。
      <parse>
        @type multi_format
        <pattern>
          format json
        </pattern>
        <pattern>
          format none
        </pattern>
      </parse>
    </filter>

    # 删除一些多余的属性
    <filter kubernetes.**>
      @type record_transformer
      remove_keys $.docker.container_id,$.kubernetes.container_image_id,$.kubernetes.pod_id,$.kubernetes.namespace_id,$.kubernetes.master_url,$.kubernetes.labels.pod-template-hash
    </filter>

    # 只保留具有logging=true标签的Pod日志
    <filter kubernetes.**>
      @id filter_log
      @type grep
      <regexp>
        key $.kubernetes.labels.logging
        pattern ^true$
      </regexp>
    </filter>
  
  ###### 监听配置,一般用于日志聚合用 ######
  forward.input.conf: |-
    # 监听通过TCP发送的消息
    <source>
      @id forward
      @type forward
    </source>

  output.conf: |-
    <match **>
      @id elasticsearch
      @type elasticsearch
      @log_level info
      include_tag_key true
      host elasticsearch
      port 9200
      logstash_format true
      logstash_prefix k8s  # 设置 index 前缀为 k8s
      request_timeout    30s
      <buffer>
        @type file
        path /var/log/fluentd-buffers/kubernetes.system.buffer
        flush_mode interval
        retry_type exponential_backoff
        flush_thread_count 2
        flush_interval 5s
        retry_forever
        retry_max_interval 30
        chunk_limit_size 2M
        queue_limit_length 8
        overflow_action block
      </buffer>
    </match>

创建Kibana

  • kibana.yaml
apiVersion: v1
kind: Service
metadata:
  name: kibana
  namespace: efk
  labels:
    app: kibana
spec:
  ports:
  - port: 5601
    nodePort: 30001
  type: NodePort
  selector:
    app: kibana

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: kibana
  namespace: efk
  labels:
    app: kibana
spec:
  selector:
    matchLabels:
      app: kibana
  template:
    metadata:
      labels:
        app: kibana
    spec:
      containers:
      - name: kibana
        image: docker.elastic.co/kibana/kibana:7.6.2
        resources:
          limits:
            cpu: 1000m
          requests:
            cpu: 1000m
        env:
        - name: ELASTICSEARCH_HOSTS
          value: http://elasticsearch:9200
        ports:
        - containerPort: 5601

用于验证日志采集的pod

  • pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test-log
  labels:
    logging: "true"  # 一定要具有该标签才会被采集
spec:
  containers:
  - name: count
    image: busybox
    args: [/bin/sh, -c,
            'i=0; while true; do echo "$i: $(date)"; i=$((i+1)); sleep 1; done']

在CentOS主机上安装fluentd 并收集java的日志

  • 安装fluentd并启动
curl -L https://toolbelt.treasuredata.com/sh/install-redhat-td-agent4.sh | sh 
systemctl start      td-agent.service        
systemctl enable      td-agent.service
  • 日志采集配置/etc/td-agent/td-agent.conf
#日志采集并格式化

<source>
 @type tail

 path /data/onboard/logs/DataOnBoard_*.log

 pos_file /var/log/td-agent/td-agent.log.pos

 read_from_head true

 tag onboard-ecs-log
 <parse>
   @type multiline
   format_firstline /\d{4}-\d{1,2}-\d{1,2}/
   format1 /^(?<time>\d{4}-\d{1,2}-\d{1,2} \d{1,2}:\d{1,2}:\d{1,2}) \[(?<thread>.*)\] (?<level>[^\s]+)(?<message>.*)/
  </parse>

</source>

<filter onboard-ecs-log>
    @type record_transformer             
    remove_keys _id
    <record>
        tag ${tag}
        hostname "#{Socket.gethostname}"
    </record>
</filter>

<filter onboard-ecs-log>
    @type    grep                         #排除掉一些不需要的日志
    <exclude>
        key message
        pattern /.*healthcheck.*|.*prometheusMetrics.*|.*(v1+\/)+(configurations)+(\/+versions).*/
    </exclude>
</filter>

### ToES
<match onboard**>
      @id elasticsearch
      @type elasticsearch
      @log_level info
      include_tag_key true
      host 10.127.40.227
      port 9200
      logstash_format true
      logstash_prefix onboard  # 设置 index 前缀为 k8s
      request_timeout    30s
      <buffer>
        @type file
        path /tmp/fluentd-buffers/kubernetes.system.buffer
        flush_mode interval
        retry_type exponential_backoff
        flush_thread_count 2
        flush_interval 5s
        retry_forever
        retry_max_interval 30
        chunk_limit_size 2M
        queue_limit_length 8
        overflow_action block
      </buffer>
  </match>

参考文章

那些、快乐。
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s~部署EFK框架
01-20
EFK,ELK都是目前最为流行的分布式日志框架,主要实现了日志收集,存储,分析等,它可以与docker容器进行结合,来收集docker的控制台日志,就是stdout日志. elasticsearch.master_data_client说明  默认情况下,每个节点...
Kubernetes离线部署+EFK日志收集资源.rar
05-15
本资源“Kubernetes离线部署+EFK日志收集资源.rar”提供了在没有互联网连接的情况下安装和配置Kubernetes集群的方案,以及整合EFK(Elasticsearch、Fluentd、Kibana)日志收集系统的方法。下面将详细解释这些知识点...
kubernetes1.22集群安装EFK日志分析系统
rendongxingzhe的博客
08-10 600
kubernetes集群搭建EFK日志分析系统
k8s搭建EFK(Elasticsearch,Kibana,Filebeat)
吴广智的博客
06-02 3484
k8s集群内搭建EFK日志采集和展示
k8s集群中搭建elasticsearch+kibana+flentd日志系统
weixin_46424009的博客
07-19 1338
k8s+ elasticsearch+kibana+flentd日志系统
kubernetes上部署Fluentd+Elasticsearch+kibana日志收集系统
虾米的博客
08-24 6833
kubernetes上部署Fluentd+Elasticsearch+kibana日志收集系统 1  工具介绍 Fluentd:用于收集、处理、传输日志数据。 Elasticsearch:用于实时查询和解析数据。 Kibana:用于数据可视化。 2  工作流程 Fluentd收集日志,将日志过滤处理后输出到Elasticsearch中,Elasticsearch的watch
关于K8s集群器日志收集的总结
chiyoue2195的博客
12-15 697
【作者barnett】本文介绍了k8s官方提供的日志收集方法,并介绍了Fluentd日志收集器并与其他产品做了比较。最后介绍了好雨云帮如何对k8s进行改造并使用ZeroMQ以消息的形式将日志传输到统一的日志处理中心。 容器日志存在形式 目前容器日志有两种输出形式: stdout,stderr...
k8s搭建EFK日志中心需要的部署文件
06-10
k8s搭建EFK日志中心需要的部署文件,适用于搭建elasticsearch + fluentd + kibana组成的日志分析平台。适合新手小白直接拿来执行使用的k8s部署脚本文件。因为镜像文件较大,所以需要对应镜像文件的请私聊。此种方案...
记一次K8s EFK(elasticsearch+fluentd+kibana)搭建排错经历
01-07
部署教程:https://qhh.me/2019/09/05/Kubernetes-基于-EFK-技术栈的日志收集实践/ yaml地址:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch 部署教程里面的两个注意...
EFK+kafka+head日志分析集群部署.rar
07-04
日志分析集群,在本地centos7虚拟机搭建的Es+firebeat+logstash+kibana+kafka+head的完整集群部署文档,很详细,通常的EFK日志分析,加上kafka的消息队列,可以处理PB级别的日志内容。
k8s-1.20搭建EFK日志系统,整不出来你打我。
05-31 658
安装k8s-1.20https://blog.csdn.net/weixin_43606975/article/details/119947061?spm=1001.2014.3001.5502 创建namespace kubectl create ns kube-logging kubectl get ns 3. 创建es svc #cat elasticsearch_svc.yaml apiVersion: v1 kind: Service metadata: name: elas..
Kubernetes EFK(8.6.2)搭建
Purpose_7的博客
03-09 1440
Kubernetes EFK(8.6.2)搭建
EFK日志搜集demo
路漫漫,等风来
03-24 4299
以前的一些东西整理下。 E:Elasticsearch F:Flume K:Kafka Flume是一个分布式的日志聚合收集工具,可以从多个且不同类型的日志源头收集日志。Flume的模型如下: Source代表数据的源头,channel暂存数据,sink为数据的流向。如下: 多个flume代理的情况下,数据可以汇聚到同一个地方,如下: 数据量多的时候,...
K8s部署轻量级日志收集系统EFK(elasticsearch + filebeat + kibana)_efk 系统日志 容器日志(1)
kOS0ym的博客
04-17 728
kind: ServiceAccount #创建个SA账号metadata:name: nfs-client-provisioner #和上面的SA账号保持一致。
ElasticStack ES/EFK 中如何解析自定义格式log文件
三头六臂的小白
11-03 562
ElasticStack ES/EFK 中如何解析自定义格式log文件
k8s部署EFK收集组件及容器日志+kibana展示
qq_48059971的博客
07-15 1299
Elasticsearch是一个分布式的免费开源搜索和分析引擎,适用于包括文本、数字、地理空间、结构化和非结构化数据等在内的所有类型的数据。filebeat是Beats中的一员。Filebeat是用于转发和收集日志数据的轻量级传送工具。Filebeat监视你指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或Logstash中。filebeat传输方案logstash是一个开源的数据收集引擎,具有实时的管道功能。Logstash有两个必要元素。...
EFK环境搭建(基于K8S环境部署)
最新发布
m0_71163619的博客
04-17 1471
控制器部署fluentd组件,这样可以保证集群中的每个节点都可以运行同样fluentd的pod副本,这样就可以收集k8s集群中每个节点的日志,在k8s集群中,容器应用程序的输入输出日志会重定向到node节点里的json文件中,fluentd可以tail和过滤以及把日志转换成指定的格式发送到elasticsearch集群中。链接:https://pan.baidu.com/s/1ttMaqmeVNpOAJD8G3-6tag。4.1创建运行nfs-provisioner需要的账号。在master1上执行。
k8s 部署智能化日志收集平台 EFK
热门推荐
高飞的博客
11-13 25万+
k8s 平台部署智能化日志收集平台采集 Pod 业务日志
Kubernetes-基于EFK进行统一的日志管理
菲宇运维
08-23 7270
1、统一日志管理的整体方案 通过应用和系统日志可以了解Kubernetes集群内所发生的事情,对于调试问题和监视集群活动来说日志非常有用。对于大部分的应用来说,都会具有某种日志机制。因此,大多数容器引擎同样被设计成支持某种日志机制。对于容器化应用程序来说,最简单和最易接受的日志记录方法是将日志内容写入到标准输出和标准错误流。 但是,容器引擎或运行时提供的本地功能通常不足以支撑完整的日志记录解决方...
EFK日志系统详细安装与配置指南
这个EFK日志系统的安装配置文档详细介绍了每个步骤,对于需要搭建日志管理平台的IT人员来说,是一份非常实用的参考资料。遵循这份指南,可以有效地收集、处理和分析系统日志数据,提升运维效率和故障排查能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值