ELK分析k8s应用日志

最新推荐文章于 2024-04-08 05:40:46 发布
最新推荐文章于 2024-04-08 05:40:46 发布
阅读量486 收藏
点赞数 1
分类专栏: 集群服务 文章标签: elk k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28613337/article/details/119968070
版权

ELK分析k8s应用日志

日志收集过程

收集,能够采集多种来源的日志数据(流式日志收集齐)
传输,能够稳定的吧日志传输到中央系统;ElasticSearch可以通过9200http方式传输,也可以通过

架构

在这里插入图片描述

安装elasticsearch-6.8.6

服务部署在21上

src]# wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.8.6.tar.gz
src]# tar -xf elasticsearch-6.8.6.tar.gz -C /opt/release/
src]# ln -s /opt/release/elasticsearch-6.8.6 /opt/apps/elasticsearch

~]# grep -Ev "^$|^#" /opt/apps/elasticsearch/config/elasticsearch.yml # 调整以下配置
cluster.name: elasticsearch.host.com
path.data: /data/elasticsearch/data
path.logs: /data/elasticsearch/logs
bootstrap.memory_lock: true
network.host: 172.16.0.21
http.port: 9200
~]# vim /opt/apps/elasticsearch/config/jvm.options # 默认1g
......
# 生产中一般不超过32G
-Xms16g
-Xmx16g
~]# useradd -M es
~]# mkdir -p /data/elasticsearch/{logs,data}
~]# chown -R es.es /data/elasticsearch /opt/release/elasticsearch-6.8.6

## 修改es用户的内核配置
~]# vim /etc/security/limits.conf 
......
es hard nofile 65536
es soft fsize unlimited
es hard memlock unlimited
es soft memlock unlimited
~]# echo "vm.max_map_count=262144" >> /etc/sysctl.conf ; sysctl -p 

# 管理es命令
 ~]# su es -c "/opt/apps/elasticsearch/bin/elasticsearch -d" # 启动
 ~]# su es -c "/opt/apps/elasticsearch/bin/elasticsearch -d -p /data/elasticsearch/logs/pid" # 指定pid记录的文件启动es
 ~]# netstat -lntp | grep 9.00
tcp6       0      0 10.4.7.12:9200          :::*                    LISTEN      69352/java          
tcp6       0      0 10.4.7.12:9300          :::*                    LISTEN      69352/java
 ~]# su es -c "ps aux|grep -v grep|grep java|grep elasticsearch|awk '{print \$2}'|xargs kill" # kill Pid
 ~]# pkill -F /data/elasticsearch/logs/pid

# 添加k8s日志索引模板
 ~]# curl -H "Content-Type:application/json" -XPUT http://172.16.0.21:9200/_template/k8s -d '{
  "template" : "k8s*",
  "index_patterns": ["k8s*"],  
  "settings": {
    "number_of_shards": 5,
    "number_of_replicas": 0
  }
}'

安装kafka

最好不要超过2.2版本,超过之后kafka_manager就不再支持

 src]# wget https://archive.apache.org/dist/kafka/2.2.0/kafka_2.12-2.2.0.tgz
 src]# tar -xf kafka_2.12-2.2.0.tgz -C /opt/release/
 src]# ln -s /opt/release/kafka_2.12-2.2.0 /opt/apps/kafka
 
 ~]# vim /opt/apps/kafka/config/server.properties
 ~]# vim /opt/apps/kafka/config/server.properties
......
log.dirs=/data/kafka/logs
# 超过10000条日志强制刷盘,超过1000ms刷盘
log.flush.interval.messages=10000
log.flush.interval.ms=1000
# 填写需要连接的 zookeeper 集群地址,当前连接本地的 zk 集群。
zookeeper.connect=localhost:2181
# 新增以下两项
delete.topic.enable=true
listeners=PLAINTEXT://172.16.0.21:9092
 # 启动kafka之前需要先启动zookeeper
/opt/apps/kafka/bin/zookeeper-server-start.sh -daemon /opt/apps/kafka/config/zookeeper.properties
 ~]# mkdir -p /data/kafka/logs
 ~]# /opt/apps/kafka/bin/kafka-server-start.sh -daemon /opt/apps/kafka/config/server.properties
 ~]# netstat -lntp|grep 121952
tcp6       0      0 10.4.7.11:9092          :::*                    LISTEN      121952/java         
tcp6       0      0 :::41211                :::*                    LISTEN      121952/java
# 查询kafka的topic是否创建成功
/opt/apps/kafka/bin/kafka-topics.sh --list --zookeeper localhost:2181

kafka-manager 安装

配置dockerfile
kafka-manager 改名为 CMAK,压缩包名称和内部目录名发生了变化,后续安装

# 这里存在几个问题:
# 1. kafka-manager 改名为 CMAK,压缩包名称和内部目录名发生了变化
# 2. sbt 编译需要下载很多依赖,因为不可描述的原因,速度非常慢,个人非VPN网络大概率失败
# 3. 因本人不具备VPN条件,编译失败。又因为第一条,这个dockerfile大概率需要修改
# 4. 生产环境中一定要自己重新做一份!
FROM hseeberger/scala-sbt

ENV ZK_HOSTS=localhost:2181 \
    KM_VERSION=2.0.0.2

RUN mkdir -p /tmp && \
    cd /tmp && \
    wget https://github.com/yahoo/kafka-manager/archive/${KM_VERSION}.tar.gz && \
    tar xf ${KM_VERSION}.tar.gz && \
    cd /tmp/kafka-manager-${KM_VERSION} && \
    sbt clean dist && \
    unzip  -d / ./target/universal/kafka-manager-${KM_VERSION}.zip && \
    rm -fr /tmp/${KM_VERSION} /tmp/kafka-manager-${KM_VERSION}

WORKDIR /kafka-manager-${KM_VERSION}
EXPOSE 9000
ENTRYPOINT ["./bin/kafka-manager","-Dconfig.file=conf/application.conf"]

apiVersion: apps/v1
kind: Deployment
metadata:
  name: kafka-manager
  namespace: infra
  labels: 
    name: kafka-manager
spec:
  replicas: 1
  selector:
    matchLabels: 
      app: kafka-manager
  template:
    metadata:
      labels: 
        app: kafka-manager
    spec:
      containers:
      - name: kafka-manager
        image: 172.16.1.10:8900/public/kafka-manager:v2.0.0.2
        ports:
        - containerPort: 9000
          protocol: TCP
        env:
        - name: ZK_HOSTS
          value: zk1.host.com:2181
        - name: APPLICATION_SECRET
          value: letmein

apiVersion: v1
kind: Service
metadata: 
  name: kafka-manager
  namespace: infra
spec:
  ports:
  - protocol: TCP
    port: 9000
    targetPort: 9000
  selector: 
    app: kafka-manager

apiVersion: extensions/v1beta1
kind: Ingress
metadata: 
  name: kafka-manager
  namespace: infra
spec:
  rules:
  - host: kafka-manager.host.com
    http:
      paths:
      - path: /
        backend: 
          serviceName: kafka-manager
          servicePort: 9000

安装filebeat

日志收集服务使用filebeat,因为传统的ruby收集的日志的方式十分消耗资源;其与业务服务采用边车模式运行;通过挂载卷的方式共享业务容器中的日志
ps:

  1. 在k8s的yaml文件中定义containers时,同时定义的容器就是以边车模式运行的
  2. docker的边车模式下两个容器共享了网络名称空间,USER(用户名称空间)和UTS(时间),隔离了IPC(进程空间)和文件系统
    注意点:要与elasticsearch版本一致

制作镜像

# windows环境中下载好的压缩包直接ADD到镜像中 https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.4.0-linux-x86_64.tar.gz
FROM debian:jessie
ADD filebeat-7.4.0-linux-x86_64.tar.gz /opt/
RUN set -x && cp /opt/filebeat-*/filebeat /bin && rm -fr /opt/filebeat* 
COPY entrypoint.sh /
ENTRYPOINT ["/entrypoint.sh"]

filebeat]# cat docker-entrypoint.sh
#!/bin/bash
ENV=${ENV:-"dev"}  # 运行环境
PROJ_NAME=${PROJ_NAME:-"no-define"}  # project 名称,关系到topic
MULTILINE=${MULTILINE:-"^\d{2}"}     # 多行匹配,根据日志格式来定
KAFKA_ADDR=${KAFKA_ADDR:-'"172.16.0.21:9092"'}
cat > /etc/filebeat.yaml << EOF
filebeat.inputs:
- type: log
  fields_under_root: true
  fields:
    topic: logm-${PROJ_NAME}
  paths:
    - /logm/*.log
    - /logm/*/*.log
    - /logm/*/*/*.log
    - /logm/*/*/*/*.log
    - /logm/*/*/*/*/*.log
  scan_frequency: 120s
  max_bytes: 10485760
  multiline.pattern: '$MULTILINE'
  multiline.negate: true
  multiline.match: after
  multiline.max_lines: 100
- type: log
  fields_under_root: true
  fields:
    topic: logu-${PROJ_NAME}
  paths:
    - /logu/*.log
    - /logu/*/*.log
    - /logu/*/*/*.log
    - /logu/*/*/*/*.log
    - /logu/*/*/*/*/*.log
    - /logu/*/*/*/*/*/*.log
output.kafka:
  hosts: [${KAFKA_ADDR}]
  topic: k8s-fb-$ENV-%{[topic]}
  version: 2.0.0
  required_acks: 0
  max_message_bytes: 10485760
EOF

set -xe

if [[ "$1" == "" ]]; then
     exec filebeat  -c /etc/filebeat.yaml 
else
    exec "$@"
fi

docker build -t 172.16.1.10:8900/filebeat:v7.4.0 . 创建docker镜像
docker push 172.16.1.10:8900/filebeat:v7.4.0 推送镜像到仓库

在spinnaker中配置日志收集容器filebeat

  1. 配置emptydir类型的存储卷;将/logm下的文件挂载到该配置卷下;将业务容器的日志同样挂载到该存储卷下;
  2. 配置环境变量,在filebeat.yaml配置文件中的所有环境变量都可以配置到容器环境变量中,有项目名称$PROJ_NAME,环境名称$ENV,多行匹配正则规则$MULTILINE

部署logstash

版本要求:与elasticsearch一致
启动方式:开发和生产环境各使用docker run启动一份
部署步骤:

# 下载镜像
~]# docker image pull logstash:6.8.3
~]# docker image tag logstash:6.8.3 172.16.1.10:8900/logstash:6.8.3
~]# docker image push 172.16.1.10:8900/logstash:6.8.3

cat /etc/logstash/logstash-dev.conf
input {
  kafka {
    bootstrap_servers => "172.16.0.21:9092"
    client_id => "172.16.0.21"
    consumer_threads => 4
    group_id => "k8s_dev"
    topics_pattern => "k8s-fb-dev-.*"
  }
}

filter {
  json {
    source => "message"
  }
}

output {
  elasticsearch {
    hosts => ["172.16.0.21:9200"]
    index => "k8s-dev-%{+YYYY.MM}"
  }
}

# 运行logstash dev环境的日志收集
docker run -d --name logstash-dev -v /etc/logstash:/etc/logstash 172.16.1.10:8900/logstash:v6.8.3 -f /etc/logstash/logstash-dev.conf

kibana部署

~]# docker pull kibana:6.8.3
~]# docker image tag kibana:6.8.3 172.16.1.10:8900/kibana:6.8.3
~]# docker image push 172.16.1.10:8900/kibana:6.8.3

pd控制器资源配置清单 dp.yml文件

apiVersion: apps/v1
kind: Deployment
metadata:
  name: kibana
  namespace: infra
  labels: 
    name: kibana
spec:
  replicas: 1
  selector:
    matchLabels: 
      name: kibana
  template:
    metadata:
      labels: 
        app: kibana
        name: kibana
    spec:
      containers:
      - name: kibana
        image: 172.16.1.10:8900/kibana:6.8.3
        ports:
        - containerPort: 5601
          protocol: TCP
        env:
        - name: ELASTICSEARCH_URL
          value: http://172.16.0.21:9200

service资源配置清单 svc.yml

apiVersion: v1
kind: Service
metadata: 
  name: kibana
  namespace: infra
spec:
  ports:
  - protocol: TCP
    port: 80
    targetPort: 5601
  selector: 
    app: kibana

ingress资源配置清单 ingress.yml

apiVersion: extensions/v1beta1
kind: Ingress
metadata: 
  name: kibana
  namespace: infra
spec:
  rules:
  - host: kibana.host.com
    http:
      paths:
      - path: /
        backend: 
          serviceName: kibana
          servicePort: 80

应用资源配置清单
添加kibana.host.com域名到bind9服务

kibana使用

  1. 初始化kibana,点击Explore on my own按钮;协助优化kibana,选择NO;Monitoring选项中,点击Turn On,开启监控,可以查询es的状态及索引;

  2. 在Management中,配置index,使用logstash中建立index的规则名称去匹配,之后选择kibana中默认的@timestamp时间戳规则,创建index patterns
    index patterns

  3. 看日志,选择Discover,选择器的使用

    1. 时间选择器quick,相对时间,绝对时间
    2. 环境选择器,对应建立的es-index,通过环境变量传递的
    3. 项目选择器(Filter功能的topic选项),对应topic名称,是通过环境变量传递的
    4. 关键字选择器;支持lusen的查询语法
      在这里插入图片描述

  4. 配置常用字段
    Time, message, log.file.path, hostname

  5. 落盘的日志直接filebeat收集;没有落盘的日志,统一输出重定向command >> /opt/logs/*.log 2>&1

岳大博
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
K8S搭建ELK(Elasticsearch,Kibana,Logstash和Filebeat)
Soft_Engneer的专栏
05-03 1万+
K8S环境从零搭建ELK(Elasticsearch,Kibana,Logstash和Filebeat),详细、完整的操作步骤,手把手教你搭建自己的ELK日志收集系统。
ELK集群搭建/K8S集群日志采集
jfcjjg的博客
11-24 3783
部署ELK-7.12.0一、所需的基础环境1、JDK环境2、磁盘配置3、修改操作系统限制二、部署ES 1、创建路径2、修改配置3、启动三、安装es-head三、安装kibana四、安装filebeat 一、所需的基础环境 部署包 提取码:anmc 1、JDK环境 对应版本对应支持的JDK环境也有所差异,但基本都支持JDK1.8 三台机器都需要执行 [root@node1 /]# mkdir /home/apps [root@node1 /]# cd /home/apps [root@node1 apps]#
k8s集群部署elk,2024年最新来来来
最新发布
2401_84166327的博客
04-08 606
logstash服务也是通过deployment控制器部署,需要使用到configmap存储logstash配置,还有service提供对外访问服务。这里使用无头服务部署es集群,需要用到pv存储es集群数据,service服务提供访问,setafuset服务部署es集群。这里使用deployment控制器部署kibana服务,使用service服务对外提供访问。创建pv的yaml配置文件(这里使用nfs共享存储方式)创建svc的无头服务和对外访问的yaml配置文件。
k8s部署elk+filebeat;springCloud集成elk+filebeat+kafka+zipkin实现多个服务日志链路追踪聚合到es
本作者:想花
01-23 2300
如今2023了,大多数javaweb架构都是springboot微服务,一个前端功能请求后台可能是多个不同的服务共同协做完成的。例如用户下单功能,js转发到后台,然后到,然后到,然后到,后续还有发货、客户标签等等服务。其中每个服务会启动多个实例做负载均衡,这样一来我们想看这个功能的完成流程日志,需要找到对应的服务器ip,日志文件在哪,其中又要确定具体负载转发到哪些台服务器上了。
k8s-9.部署elk日志收集
mingqing的博客
07-31 1507
https1、helm是k8s包管理工具,可以方便的把之前打包好的yaml文件部署到k8s上。2、helm三个重要概念(1)heml是命令行客户端工具,用于chart创建、打包、发布、部署管理(2)Chart把yaml文件进行打包,yaml的集合(3)Release基于chart部署的实体,应用级别的版本管理三、helm在2019年发布V3版本,有变化(1)Tiller被移除(2)Release支持在不同命名空间进行重用(3)Chart可以推送到Docker镜像仓库中。...
【云原生 | Kubernetes 系列】----K8s日志收集
Q先生
08-23 2291
K8s 日志收集
快速搭建ELK日志分析系统
01-27
ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。...它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包
ELK日志分析平台搭建全过程
02-24
当生产环境有很多服务器、很多业务模块的日志需要每时每刻查看时系统:centos6.5JDK:1.8Elasticsearch-5.0.0Logstash-5.0.0kibana-5.0.01、安装JDK下载JDK:...将安装包拷贝至安装服务器/usr/local目录[root@localhost...
采用ELK搭建日志分析系统.docx
10-13
采用ELK搭建日志分析系统
ELK日志分析系统
04-30
进行日志处理分析,一般需要经过一下几步: (1)将日志进行集中化管理 (2)将日志格式化(Logstash)并输出到Elasticsearch (3)对格式化后的数据进行索引和存储(Elasticsearch) (4)前端数据的展示(Kibana)
k8s资源监控和日志管理
识途老码
12-10 4896
k8s资源监控和日志管理k8s监控资源使用率查看集群资源状态监控集群资源利用率安装metric-server服务使用yaml资源清单部署metric-server服务使用kubectl top命令查看资源消耗管理k8s组件日志k8s查看日志管理k8s组件日志kubectl logs查看日志原理管理k8s应用日志收集k8s日志思路收集标准输出收集容器中日志文件 k8s监控资源使用率 查看集群资源状态 # 查看master组件状态 kubectl get cs # 查看node状态 kubectl get
记一次K8s EFK(elasticsearch+fluentd+kibana)搭建排错经历
01-07
部署教程:https://qhh.me/2019/09/05/Kubernetes-基于-EFK-技术栈的日志收集实践/ yaml地址:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch 部署教程里面的两个注意 Elasticsearch 数据持久化:默认 EmptyDir 的方
Spinnaker篇-Halyard部署k8s CICD工具spinnaker
鬼刺
02-19 1169
1 环境描述 使用docker部署halyard 通过halyard部署spinnaker halyard容器所在节点需要能够翻墙的网络环境 k8s集群环境 本次搭建只用了一个虚机,该虚机上部署了k8s环境 2 halyard部署 2.1 docker部署halyard 节点上操作: 创建目录并修改权限 mkdir ~/.hal chmod 777 ~/.hal 准备好认证文件ad...
K8S上部署 ELK 7.14 并集成 spring cloud
09-01 228
我们使用了nfs来进行数据存储,在elk配置中使用了nfs storageclass.所以先要启用nfs-client-provisioner。
Kubernetes — 日志管理方案
qq_41619571的博客
10-23 2297
容器引擎或运行时提供的本地功能通常不足以支撑完整的日志记录解决方案。例如,一个容器崩溃、一个Pod被驱逐、或者一个Node死亡,往往仍然需求可以访问应用程序的日志日志应该具有独立于Node、Pod或者容器的单独存储和生命周期,这个概念被称为Cluster 级日志记录需要一个独立的后端来存储、分析和查询日志Kubernetes 本身并没有为日志数据提供原生的存储解决方案,但可以将许多现有的日志记录解决方案集成到Kubernetes 集群中。
Docker下ELK三部曲之三:K8S上的ELK应用日志上报
热门推荐
程序员欣宸的博客
04-30 1万+
本章是《Docker下ELK三部曲》系列的终篇,前面章节已经详述了ELK环境的搭建以及如何制作自动上报日志应用镜像,今天我们把ELK和web应用发布到K8S环境下,模拟多个后台server同时上报日志的场景; 原文地址:https://blog.csdn.net/boling_cavalry/article/details/80141800 前文链接 《Docker下ELK三部曲》前面两篇...
kubernetes 1.5安装 ELK(ElasticSearch, Logstash, Kibana)
wenwst的专栏
12-28 6884
安装这东西还是比较麻烦,在网上的文章很多,要么难得不行,要不就是简单的不行,看完了也不知道怎么搞。按着他们的好不容易搞出来,也发现无法使用。 还有和原来一样,先把镜像和版本说明一下:   index.tenxcloud.com/docker_library/elasticsearch:2.3.0 index.tenxcloud.com/docker_library/kibana
关于K8s集群器日志收集的总结
chiyoue2195的博客
12-15 686
【作者barnett】本文介绍了k8s官方提供的日志收集方法,并介绍了Fluentd日志收集器并与其他产品做了比较。最后介绍了好雨云帮如何对k8s进行改造并使用ZeroMQ以消息的形式将日志传输到统一的日志处理中心。 容器日志存在形式 目前容器日志有两种输出形式: stdout,stderr...
k8s系列之 ELK 日志收集
qq_36465337的博客
03-23 1482
一:痛点 在部署完成后 虽然我们能正常的运行我们的服务了 。 但是我们查看日志却是一个很麻烦的事情 , 我们只能去容器当中查看已经打印好的日志 。这很明显非常的不友好 , 而且容器中的日志肯定要定时删除的 。 不利于我们日后去查找对应的日志 二:解决方案 目前很主流的是elk的解决方案 , 但是 l 却有很多不同 这里我使用的是 aliyun的 log-pilot log-pilot 官方...
k8s一键部署elk
08-31
ELK是一套日志分析和可视化平台,用于收集、解析和展示大量的日志数据。它可以帮助用户对日志数据进行搜索、分析和监控,以便更好地理解应用程序的性能和故障情况。通过k8s一键部署ELK,用户可以方便地在Kubernetes...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

岳大博

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值