使用ELFK收集分析k8sdemo日志

已于 2023-01-08 11:16:30 修改
阅读量321 收藏 2
点赞数 1
文章标签: kubernetes 运维 容器 elasticsearch elk
于 2022-12-31 23:51:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37256882/article/details/128509717
版权

这里使用ELFK收集之前部署的k8sdemo,作为测试,就收集一个日志即可。

这里选择了cosmall日志,这个程序实质上是一个nginx程序,作为反向代理使用。

收集cosmall的日志

这里采用了写脚本,收集最近1小时的日志,并配置corntab

[root@VM-12-8-centos shell]# cat kube-nginx-log.sh 
#!/bin/bash

. /root/.bash_profile

kubectl logs --since=1h mall-987568788-5bpqk >> /data/shell/access.log
[root@VM-12-8-centos shell]# 
[root@VM-12-8-centos shell]# 
[root@VM-12-8-centos shell]# crontab -l
#每小时收集一次日志
13 */1 * * *  sh /data/shell/kube-nginx-log.sh > /dev/null 2>&1

 因为之前配置均没有将日志挂载到存储上,所以采用kubectl logs的方式定时收集日志

filebeat配置

直接配置filebat收集access.log即可

[root@VM-12-8-centos filebeat]# egrep -v "#|^$" filebeat.yml 
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /data/shell/access.log
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
setup.template.settings:
  index.number_of_shards: 3
setup.kibana:
output.logstash:
  hosts: ["10.0.20.10:5044"]
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~

logstash配置

logstash的fileter除了配置grok分析处理日志,还配置了geoip和useragent,date插件

[root@VM-20-10-centos conf.d]# cat logstash_to_elasticsearch.conf
# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
  beats {
    port => 5044
  }
}

filter {

    grok {
        match => { "message" => "%{IP:clientip} - (%{USERNAME:user}|-) \[%{HTTPDATE:timestamp}\] \"(%{WORD:request_verb} %{NOTSPACE:request} HTTP/%{NUMBER:httpversion}\s*|%{GREEDYDATA:request})\" %{NUMBER:status:int} %{NUMBER:body_sent:int} \"%{GREEDYDATA:http_referer}\" \"%{GREEDYDATA:http_user_agent}\" \"(%{IPV4:http_x_forwarded_for}|-)\"" }
        remove_field =>  "message" 
    }
    date {
        match => [ "time_local", "dd/MMM/yyyy:HH:mm:ss Z" ]

    }
    geoip {
        source => "clientip"
        fields => ["city_name","country_name","ip"]
    }
    useragent {
        source => "http_user_agent"
        target => "acesss_useragent"
    }
}

output {
  elasticsearch {
    hosts => ["http://10.0.20.10:9200"]
    index => "nginx-accesslog-%{+YYYY.MM.dd}"
    document_type => "nginx-accesslog"
    template_overwrite => true
    #user => "elastic"
    #password => "changeme"
  }

  stdout {
    codec =>rubydebug
  }
}

elasticsearch配置

[root@VM-20-10-centos elasticsearch]# egrep -v "#" elasticsearch.yml
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
http.port: 9200

kibana配置

[root@VM-20-10-centos kibana]# egrep -v "#|^$" kibana.yml
server.port: 3306
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://10.0.20.10:9200"]

测试检查及数据可视化

启动各个程序后,检查索引情况

因为没有配置副本分区,所以索引状态为yellow,不过不影响我们测试,先忽略这个问题。

在kibana中配置nginx这个索引模式

可以看到,在logstash中配置的geoip,useragent插件分析处理后的相关信息,已在特定字段展示

 可以根据这些字段,对访问量,访问方法,访问的url,来访ip所属国家,城市等,进行可视化的展示

收集匹配受攻击日志-grok表达式的进一步完善

在运行一段时间后,会发现有一些nginx日志logstash无法正常解析

10.244.0.0 - - [01/Jan/2023:07:46:19 +0000] "\x05\x01\x00" 400 157 "-" "-" "-"
10.244.0.0 - - [01/Jan/2023:07:53:13 +0000] "\x05\x01\x00" 400 157 "-" "-" "-"
10.244.0.0 - - [01/Jan/2023:09:52:31 +0000] "\x05\x01\x00" 400 157 "-" "-" "-"
10.244.0.0 - - [01/Jan/2023:09:53:49 +0000] "\x05\x01\x00" 400 157 "-" "-" "-"

比如如上的这种日志,没有请求方法,也没有请求url,但ngnix返回了400,一般情况,这种日志表示你的服务器受到了攻击,所以,对于这种情况的日志是一定要解析出来,以便及时发现的服务器的异常情况

所以我们将grok表达式完善如下

%{IP:clientip} - (%{USERNAME:user}|-) \[%{HTTPDATE:timestamp}\] \"(%{WORD:request_verb} %{NOTSPACE:request} HTTP/%{NUMBER:httpversion}\s*|%{GREEDYDATA:request})\" %{NUMBER:status:int} %{NUMBER:body_sent:int} \"%{GREEDYDATA:http_referer}\" \"%{GREEDYDATA:http_user_agent}\" \"(%{IPV4:http_x_forwarded_for}|-)\"

#其中的重点是这一段
(%{WORD:request_verb} %{NOTSPACE:request} HTTP/%{NUMBER:httpversion}\s*|%{GREEDYDATA:request})
对于请求的方法和url及http版本协议号,受攻击时,这一段是不会显示的
我们使用GREEDYDATA来匹配这种情况

修改logstash配置文件后重启,再重新配置kibana,可以看到,对于受攻击情况,已经在dashboard有展示

除了常用的get,post方法,还有其他方法的访问

使用KQL查询时,直接查询request:\x05\x01\x00会查询不出来,需要对”\“进行转义才可以查询

从官方文档可以看到相关说明

KQL相关的官方说明

beretxj_
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
filebeat收集K8S日志,写入自动创建的索引
yanggd1987的专栏
09-08 1万+
需求 前面我们已经将SpringBoot项目部署在K8S中,此时需要filebeat收集日志并通过ELK进行展示,以用于后续的问题排查及监控。 与传统的日志收集不同: pod所在节点不固定,每个pod中运行filebeat,配置繁琐且浪费资源; pod的日志目录一般以emptydir方式挂载在宿主机,目录不固定,filebeat无法自动匹配; pod持续增多,filebeat需要做到自动检测并收集; 因此最后的收集方式为一个filebeat能够收集所有的pod日志,但是这就要求统一的日志收集规则、目录以
【 云原生 kubernetes 】- 使用Filebeat采集k8s日志
ycloud
06-27 3111
日志采集器Logstash其功能虽然强大,但是它依赖java、在数据量大的时候,Logstash进程会消耗过多的系统资源,这将严重影响业务系统的性能,而filebeat就是一个完美的替代者,它基于Go语言没有任何依赖,配置文件简单,格式明了
Kibana KQL查询语法
Sid小杰的博客
08-24 1万+
1.查看kibana状态 http://172.20.10.10:5601/status
k8s-EFK (filebeat)日志收集
planck
08-20 3137
使用elasticsearch+filebeat+kibana收集pod指定目录日志,filebeat用于收集日志,es用于存储,kibana用于展示。本例以收集部署于k8s内的nginx日志为例子。
Kibana查询语法使用手册
热门推荐
白开水的博客
03-15 7万+
引用自 https://blog.csdn.net/zhengchaooo/article/details/79500130 Kibana查询语法使用手册速查全文搜索字段正则近似搜索范围搜索优先级分组字段分组转义特殊字符简单查询1、范围查询2、逻辑操作3、分组4、转义特殊字符Lucene语法简单说明TermsFields模糊查询Term ModifiersFuzzy SearchesProxi...
ELFK日志收集日志文件范例
12-21
ELFK日志收集日志文件范例
ELK/ELFK(7.3 ) 企业PB级日志系统实战
06-17
Elastic Stack日志系统是目前企业应用广泛的一套日志解决方案。 ? 包含的组件有Filebeat,Logstash,Elastic...此教程足以能承担PB级的日志收集系统的量。 此教程的背景介绍请参阅我的CSDN博客,置顶内容的第一篇博文。
AGou-ops#beforeWork#Kafka+ELFK分布式日志收集1
07-25
使用背景由于ELFK的局限性,随着Beats 收集的每秒数据量越来越大,Logstash可能无法承载这么大量日志的处理。虽然说,可以增加 Logstash 节点
ELFK离线安装包,解压rpm直接安装
12-21
ELFK(Elasticsearch, Logstash, Fluentd, Kibana)是一套广泛使用日志管理和分析工具,常被用于构建高效、灵活的日志收集、处理、存储和可视化的解决方案。这个离线安装包提供了在没有网络连接或者网络环境受限的...
ELFK docker镜像-7.1.0版本(kibana、logstash)
最新发布
06-13
ELFK docker镜像-7.1.0版本(kibana、logstash) 剩余两个镜像文件在: https://download.csdn.net/download/liu_chen_yang/89427498 ELFK docker镜像-7.1.0版本(elasticsearch、filebeat) 可能里面打了好几层...
Kibana 使用 KQL 查询语法-kibana 常用查询语法
长河的博客
06-02 2万+
Kibana 查询语言 (KQL) 是一种使用自由文本搜索或基于字段的搜索过滤 Elasticsearch 数据的简单语法。 KQL 仅用于过滤数据,并没有对数据进行排序或聚合的作用。 KQL 能够在您键入时建议字段名称、值和运算符。 建议的性能由 Kibana 设置控制。 KQL 具有与 Lucene 查询语法不同的一组特性。 KQL 能够查询嵌套字段和脚本字段。 KQL 不支持正则表达式或使用模糊术语进行搜索。 要使用旧版 Lucene 语法,请单击搜索字段旁边的 KQL,然后关闭 KQL。 术语
[MSDN]关键字查询语言 (KQL) 语法参考
weixin_33850890的博客
03-04 2521
MSDN:http://msdn.microsoft.com/library/ee558911(v=office.15) 了解如何构造 SharePoint 2013 中的搜索功能 的 KQL 查询。该语法参考介绍了 KQL 查询元素和如何在 KQL 中使用属性限制和运算符。 适用范围: SharePoint Foundation 2013|SharePoint Server 20...
Filebeat 采集 k8s Pod 和 Events 日志实战操作
匠人精神,持之以恒!
10-15 1817
使用Filebeat采集Kubernetes中的Pod和Events日志,您需要配置Filebeat以适应这两种类型的数据。Pod日志容器内产生的日志数据。Filebeat可以监控这些日志并将它们发送到中央存储或分析系统。下面是如何配置Filebeat来采集Pod使用Filebeat的输入模块配置,选择。这告诉Filebeat应该监控容器的标准输出和日志文件。paths:这个配置指定Filebeat监控容器日志文件,同时使用处理器添加Kubernetes元数据,以便在日志中包含有关Pod。
filebeat+elk搭建日志平台采集K8s容器应用日志
fh_luchenxi的博客
12-31 3391
filebeat+elk
ELFK日志平台入门1---架构设计
u014526891的博客
11-04 1万+
ELFK日志平台入门1---架构设计 ELFK日志平台入门2---Elasticseach集群搭建 ELFK日志平台入门3---Kibana搭建 ELFK日志平台入门4---Kafka集群搭建 ELFK日志平台入门5---Logstash+Filebeat集群搭建 1、什么是ELK 日志,对于任何系统来说都是及其重要的组成部分。在计算机系统里面,更是如此。但...
elfk收集k8s日志(二)
变成习惯
05-20 728
本文介绍通过elk + filebeat方式收集k8s日志,其中filebeat以sidecar方式部署。elfk最新版本:7.6.2 k8s日志收集方案 3种日志收集方案: 1. node上部署一个日志收集程序 Daemonset方式部署日志收集程序,对本节点 /var/log 和 /var/lib/docker/containers 两个目录下的日志进行采集 2. sidecar方式部署日志收集程序 每个运行应用程序的pod中附加一个日志收集容器使用 emptyD
记一次从elkelfk的升级
weixin_33712987的博客
03-06 226
最近完成了公司的一次elk升级,东西比较多,在做的过程中做了一些笔记。所有东西来源于网络,现在我也做一次小总结,希望能帮到其他人。找了很多资料,大部分是其他同学写的博客,少部分官方资料。文档中我引用了很多同学的链接,如有侵权还请联系我,将会立即删除,联系邮件:jesus110@163.com在开始写这篇博客的时候才发现,要写好一篇博客不容易,可能要做几次实验,需要截图,上传图片,重新排版。感谢那些...
k8s部署 elfk 7.x + x-pack
变成习惯
02-09 1931
k8s以StatefulSet方式部署elasticsearch集群,其中filebeat以sidecar方式部署。当前最新版本:7.10.1 namespace mkdir -p /home/k8s/elfk/{elasticsearch-head,elasticsearch,logstash,kibana,filebeat} cd /home/k8s/elfk vim namespace.yaml apiVersion: v1 kind: Namespace metadata: name:
K8S使用filebeat统一收集应用日志
weixin_33720078的博客
04-24 1060
今年3月份在公司的内部k8s培训会上,开发同事对应用整合进pod提出了几个问题,主要围绕在java应用的日志统一收集、集中存放和java jvm内存监控数据收集相关的点上,本文将介绍使用filebeat实现pod日志的统一收集,集中存放使用集群外的elasticsearch,后续可以加上kibana及模板文件实现更友好的数据展示。 一、准备和测试tomcat基础镜像该镜像主要是配置jdk环境变...
为什么 ELFK 中会使用 Filebeat 替代 Logstash
07-17
ELFK 中,Filebeat 和 Logstash 都可以用来收集和处理日志数据,但是它们有不同的特点和适用场景。 Filebeat 是一个轻量级的日志收集工具,可以直接读取日志文件并将数据传输到 Elasticsearch 或者 Logstash ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值