k8s组件错误日志收集-filebeat-logtash配置

已于 2023-06-12 11:17:53 修改
阅读量2k 收藏
点赞数
分类专栏: Kubernetes 文章标签: elasticsearch kubernetes
于 2021-12-21 14:33:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39438868/article/details/122061336
版权

所有的组件日志格式一致:
日志格式:
Log line format: [IWEF]mmdd hh:mm:ss.uuuuuu threadid file:line] msg

如下:E1221 13:53:13.024436 4853 controller.go:152] Unable to remove old endpoints from kubernetes service: StorageError: key not found, Code: 1, Key: /registry/masterleases/172.30.1.88, ResourceVersion: 0, AdditionalErrorMsg:

filebeat配置文件,7.9+

filebeat.inputs: 
- type: log
  enable: true
  paths:
    - /data/logs/kube-proxy/kube-proxy.*.root.log.ERROR.*
  max_bytes: 20480
  exclude_lines: ['^Running on machine','^Log file created','^Binary: Built with','^Log line format']
  fields:
    service: kube-proxy-error-log
  multiline.pattern: ^E[0-9]{4}
  multiline.negate: true
  multiline.match: after
setup.ilm.enabled: false

output.kafka:         # 输出到kafka
    enabled: true     # 该output配置是否启用
    hosts: ["1.30.0.136:9092"] # kafka节点列表
    topic: '%{[fields.service]}'  # kafka会创建该topic,然后logstash(可以过滤修改)会传给es作为索引名称
    partition.hash:
      reachable_only: true # 是否只发往可达分区
    compression: gzip      # 压缩
    max_message_bytes: 1000000  # Event最大字节数。默认1000000。应小于等于kafka broker message.max.bytes值
    required_acks: 1  # kafka ack等级
    worker: 2  # kafka output的最大并发数
    bulk_max_size: 2048    # 单次发往kafka的最大事件数
    logging.to_files: true   # 输出所有日志到file,默认true, 达到日志文件大小限制时,日志文件会自动限制替换
shipper:

logstash配置文件

input {
    kafka {
        bootstrap_servers => "1.30.0.136:9092"
        group_id => "logstash-kubelet-error-log"
        client_id => "logstash-kubelet-error-log"
        topics => ["kubelet-error-log"]
        codec => json
        consumer_threads => 9
        decorate_events => true
    }
}

filter {
        ruby {
          code => "event.set('logsize', event.get('message').bytesize)"
        }
        grok {
            match => [
                "message", "^E(%{NUMBER:date}\s+%{TIME:time})\s+%{NUMBER:threadid}\s+%{DATA:file_line}\]\s+%{GREEDYDATA:content}"
            ]
        }
        date {
            match => [ "logdate", "yyyy-MM-dd HH:mm:ss.SSS" ]
            target => "@timestamp"
                        remove_field => [ "logdate" ]
        }
        mutate{
                remove_field => ["agent"]
                remove_field => ["ecs"]
        }
}

output {
    elasticsearch {
        hosts => [".30.0.92:9200"]
        manage_template => false
        index => "test_kubelet-error-log-%{+YYYY.MM.dd}"
    }
}
output {  
    stdout {  
        codec => "rubydebug"  
    }  
}

ES
在这里插入图片描述

x10n9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 部署 filebeat 7.10.1 和 logstash 7.10.1
临江仙我亦是行人
06-12 1046
k8s 部署 filebeat 7.10.1 和 logstash 7.10.1
EFK中filebeatk8s容器日志丢失数据
小y的专栏
04-19 4010
问题:filebeat读取k8s container日志,生产到kafka过程中,出现丢数据。如下图实际生产了1w+日志,但只生产了5746条 定位: 因为是EFK流程,首先,需要确定是生产还是消费出现了问题,直接kafka命令行使用另外的消费组消费同一topic的kafka数据,得出的数据与kibana查的数据一致,说明消费没问题。 其次,因日志映射到host-path,同时在stdout也有打印(默认存储到了/data/lib/docker/containers/${data.kubernetes
Kubernetes部署ELK(filebeat+logstash+elasticsearch 8.x+kibana)收集linux系统日志
最新发布
weixin_41489136的博客
05-18 426
主要修改input和output,我这个环境通过rsyslog日志汇聚到了一台服务器的/home/log路径上,所以就写的/home/log下的文件。其中output指向es的开放端口。
k8s部署elk+filebeat+logstash+kafka集群(三)logstash部署
filtercomp的博客
09-30 1959
k8s部署logstash用于消费kafka的数据
k8s部署elk+filebeat+logstash+kafka集群(二)kafka-zookeeper模式集群
filtercomp的博客
09-30 651
k8s中kafkazookeeper集群模式部署
项目部署上K8S Log4j多副本滚动备份日志丢失问题记录
试着奔跑的菜鸟的博客
03-24 1564
应用上了K8S之后,使用Log4j因多副本对同一日志文件进行滚动备份导致日志丢失
efk7.13搜集java日志-filebeat配置详解
06-29
efk7.13搜集java日志filebeat配置详解笔记总结
k8s-rdma-sriov-dev-plugin:Kubernetes Rdma SRIOV 设备插件
05-31
创建每个节点的sriov配置编辑 example/sriov/rdma-sriov-node-config.yaml 以描述 sriov PF netdevice(s)。 在此示例中,它是eth0和eth1。 注意: (a) 不要添加任何 VF。 (b) 不要手动启用 SRIOV。 该插件为给定的
解决k8s中xxl-job执行器pod重建后无法读取到执行日志的问题
08-24
但在k8s中,即使将本地文件通过nfs独立存储,在pod重建后也通常会因为ip变更,找不到执行器,导致读取不到执行日志。解决方案为单独再部署一个xxl-job-read-log服务,将读日志的请求都转到这个服务上,由这个服务...
k8s-for-docker-desktop.zip
10-21
在IT行业中,Kubernetes(简称k8s)已经成为容器编排和管理的首选平台,而Docker Desktop则是开发者和IT专业人员在本地开发环境中运行Docker容器的主要工具。本资源"**k8s-for-docker-desktop.zip**"显然是为了帮助...
k8s-fordocker-desktop-v1.29.1
03-01
【压缩包子文件的文件名称列表】中的 "k8s-for-docker-desktop-master" 很可能是项目源代码或者安装包的主文件,这通常包含了所有必要的组件,如配置文件、脚本、文档等,用于在Docker Desktop上设置和运行...
k8s离线搭建eck+logstash+filebeat日志系统
jyf650426的博客
01-14 5207
前言 最近项目搭建完成k8s集群之后,需要搭建elk日志收集系统,也是从零开始,说实话整个elk全部部署在集群上压力还是蛮大的,现在只是最开始试着部署一下,之后的方案肯定还要调整,目前的机器数量太少,无法满足要求,仅记录搭建过程备用。 机器准备 服务器 ip 系统 角色 master1 172.16.140.100 centos7 k8s-master节点1,ceph-node,c...
Easypack: Kubernetes 1.17.2 设定选项更新:ApiServer
知行合一 止于至善
02-01 6133
以目前最新的稳定版本1.17.2,总结更新ApiServer相关设定选项。
云原生|kubernetes|kubernetes-1.18 二进制安装教程单master(其它的版本也基本一样)
zsk_john的技术分享专用博客
08-27 1780
生成kube-proxy.kubeconfig文件。
一文读懂 Kubernetes APIServer 原理
cbmljs的博客
10-25 742
整个Kubernetes技术体系由声明式API以及Controller构成,而kube-apiserver是Kubernetes的声明式api server,并为其它组件交互提供了桥梁。因此加深对kube-apiserver的理解就显得至关重要了。
Kubernetes安装配置指南(二进制安装)
weixin_30562507的博客
08-27 2338
以二进制文件方式安装Kubernetes集群 k8s下载地址:https://github.com/kubernetes/kubernetes/releases wget https://dl.k8s.io/v1.14.0/kubernetes-server-linux-amd64.tar.gz wget https://dl.k8s.io/v1.14.0/kubernetes-clie...
kubernetes(k8s)异常处理积累-持续更新
全栈行动派的博客
02-06 1894
kubernetes(k8s)异常处理积累,通过情景再现的方式展示异常关联环境全部面貌,达到异常一对一解决,会持续更新
Kubernetes 常见问题排查与解决方案!(纯干货)
热门推荐
云原生实验室
07-29 1万+
毫无疑问,Kubernetes 是个伟大的开源作品,给作者所在团队中极大地提高了生产力,但在使用过程中,相信很多人跟作者一样,会遇到各种各样的问题,有时候解决的过程也是非常享受,某些问题还...
基于Kubernetes构建和部署企业容器云
Enweitech Software Works
08-13 3513
目录 第一章:Kubernetes介绍和环境准备 一、什么是K8S 二、主要功能 三、服务介绍 3.1 master节点 3.2 node节点 四、实验环境准备 4.1 规划 4.2 网络设置 4.3 配置静态IP地址 4.4 关闭selinux、防火墙、networkmanage 4.5 设置主机名解析 4.6 配置epel源 4.7 配置免秘钥登录 第二章:Kubernetes集群初始化 一...
k8s操作手册-0508-back1
08-08
如:主机名ip地址k8s-master110.99.1.51k8s-master210.99.1.52k8s-master310.99.1.53k8s-node

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值