k8s elk之logstash日志数据筛选、合并、字段匹配、索引区分

已于 2023-09-19 11:44:17 修改
阅读量873 收藏 3
点赞数
分类专栏: k8s 文章标签: kubernetes elk elasticsearch
于 2023-04-23 16:11:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43606975/article/details/130323371
版权

申明:

  • 我想把我收集的日志中不需要的数据,在kibana上不展示。
  • 我想索引名字按照日志中某个字段定义名称
  • 我想把日志几行合并为一行在kibana上展示
  • 我想把几个索引的某个关键字匹配的内容写入一个新的索引
1. 安装基础环境
  1. 安装es:
#cat elasticsearch-statefulset.yaml
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: es-cluster
  namespace: kube-logging
spec:
  serviceName: elasticsearch
  replicas: 1
  selector:
    matchLabels:
      app: elasticsearch
  template:
    metadata:
      labels:
        app: elasticsearch
    spec:
     # nodeName: k8s-node3 指定node
      containers:
      - name: elasticsearch
        image: elasticsearch:7.12.1
        imagePullPolicy: IfNotPresent
        resources:
            limits:
              cpu: 1000m
            requests:
              cpu: 100m
        ports:
        - containerPort: 9200
          name: rest
          protocol: TCP
        - containerPort: 9300
          name: inter-node
          protocol: TCP
        volumeMounts:
        - name: data
          mountPath: /usr/share/elasticsearch/data
        env:
          - name: cluster.name
            value: k8s-logs
          - name: node.name
            valueFrom:
              fieldRef:
                fieldPath: metadata.name
          - name: discovery.seed_hosts
            value: "es-cluster-0.elasticsearch"
          - name: cluster.initial_master_nodes
            value: "es-cluster-0"
          - name: ES_JAVA_OPTS
            value: "-Xms2g -Xmx2g"
      initContainers:
      - name: fix-permissions
        image: busybox
        imagePullPolicy: IfNotPresent
        command: ["sh", "-c", "chown -R 1000:1000 /usr/share/elasticsearch/data"]
        securityContext:
          privileged: true
        volumeMounts:
        - name: data
          mountPath: /usr/share/elasticsearch/data
      - name: increase-vm-max-map
        image: busybox
        imagePullPolicy: IfNotPresent
        command: ["sysctl", "-w", "vm.max_map_count=262144"]
        securityContext:
          privileged: true
      - name: increase-fd-ulimit
        image: busybox
        imagePullPolicy: IfNotPresent
        command: ["sh", "-c", "ulimit -n 65536"]
        securityContext:
          privileged: true
      volumes:
      - name: data
        hostPath:
         path: /home/es/
  1. es-svc
#cat elasticsearch_svc.yaml
apiVersion: v1
kind: Service
metadata:
  name: elasticsearch
  namespace: kube-logging
  labels:
    app: elasticsearch
spec:
  selector:
    app: elasticsearch
  clusterIP: None
  ports:
    - port: 9200
      name: rest
    - port: 9300
      name: inter-node
  1. filebeat部署
# cat flebete.yaml
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: filebeat
  namespace: kube-logging
  labels:
    k8s-app: filebeat
spec:
  selector:
    matchLabels:
      k8s-app: filebeat
  template:
    metadata:
      labels:
        k8s-app: filebeat
    spec:
      serviceAccountName: filebeat
      terminationGracePeriodSeconds: 30
      hostNetwork: true
      dnsPolicy: ClusterFirstWithHostNet
      containers:
      - name: filebeat
        image: elastic/filebeat:7.6.2
        args: [
          "-c", "/etc/filebeat.yml",
          "-e",
        ]
        env:
        - name: ELASTICSEARCH_HOST
          value: elasticsearch
        - name: ELASTICSEARCH_PORT
          value: "9200"
        - name: ELASTICSEARCH_USERNAME
          value: elastic
        - name: ELASTICSEARCH_PASSWORD
          value: changeme
        - name: ELASTIC_CLOUD_ID
          value:
        - name: ELASTIC_CLOUD_AUTH
          value:
        - name: NODE_NAME
          valueFrom:
            fieldRef:
              fieldPath: spec.nodeName
        securityContext:
          runAsUser: 0
          # If using Red Hat OpenShift uncomment this: privileged: true
        resources:
          limits:
            cpu: 500m
            memory: 500Mi
          requests:
            cpu: 100m
            memory: 100Mi
        volumeMounts:
        - name: config
          mountPath: /etc/filebeat.yml
          readOnly: true
          subPath: filebeat.yml
        - name: data
          mountPath: /usr/share/filebeat/data
        - name: varlibdockercontainers
          mountPath: /var/lib/docker/containers
          readOnly: true
        - name: varlog
          mountPath: /var/log
          readOnly: true
      #nodeSelector:
      #  logging: es
      volumes:
      - name: config
        configMap:
          defaultMode: 0600
          name: filebeat-config
      - name: varlibdockercontainers
        hostPath:
          path: /var/lib/docker/containers
      - name: varlog
        hostPath:
          path: /var/log
      # data folder stores a registry of read status for all files, so we don't send everything again on a Filebeat pod restart
      - name: data
        hostPath:
          path: /var/lib/filebeat-data
          type: DirectoryOrCreate
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: filebeat
subjects:
- kind: ServiceAccount
  name: filebeat
  namespace: kube-logging
roleRef:
  kind: ClusterRole
  name: filebeat
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: filebeat
  labels:
    k8s-app: filebeat
rules:
- apiGroups: [""]
# "" indicates the core API group
  resources:
  - namespaces
  - pods
  verbs:
  - get
  - watch
  - list
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: filebeat
  namespace: kube-logging
  labels:
    k8s-app: filebeat
  1. filebeat-config文件
#cat flebete-config.yaml
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: filebeat-config
  namespace: kube-logging
  labels:
    k8s-app: filebeat
data:
  filebeat.yml: |-
    filebeat.inputs:
    - type: container
      paths: #多日志路径匹配
        - /var/log/containers/*.log
        - /var/log/test/*.log

    output.logstash: #logstash地址
      hosts: ['logstash.kube-logging.svc.cluster.local:5044']
  1. logstash部署
 #cat logs.yaml
---
kind: Deployment
apiVersion: apps/v1
metadata:
  name: logstash
  namespace: kube-logging
spec:
  selector:
    matchLabels:
      app: logstash
  template:
    metadata:
      labels:
        app: logstash
    spec:
      hostname: logstash
      containers:
      - name: logstash
        ports:
          - containerPort: 5044
            name: logstash
        image: logstash:v1  #这儿我自己打了一个镜像,安装了multiline模块。基础镜像(logstash:7.5.0)没有这个模块,进入容器执行(bin/logstash-plugin install logstash-filter-multiline),查看(bin/logstash-plugin install logstash-filter-multiline)
        volumeMounts:
        - name: logstash-config
          mountPath: /usr/share/logstash/pipeline/
        command:
        - logstash
      volumes:
      # Previously defined ConfigMap object.
      - name: logstash-config
        configMap:
          name: logstash-config
          items:
          - key: logstash.conf
            path: logstash.conf
---
kind: Service
apiVersion: v1
metadata:
  name: logstash
  namespace: kube-logging
spec:
  #type: NodePort
  clusterIP: None
  selector:
    app: logstash
  ports:
  - protocol: TCP
    port: 5044
    name: logstash
  1. logtash 配置
# cat logs-config.yaml
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: logstash-config
  namespace: kube-logging
data:
  logstash.conf: |-
      input {
        beats {
            port => "5044"
        }
       }
      filter {
        if [agent][id] == "7e857655-7475-4eb2-866e-d2939fe1ba03" {  #此行可以删除,因为我是调试单个项目。解释日志字段agetn.id等于"7e857655-7475-4eb2-866e-d2939fe1ba03"并且删除包含info或者test的行,写入es,索引名字为my_index-7e857655-7475-4eb2-866e-d2939fe1ba03-2023.04.22。因为日志太多,所以无关紧要的日志不写入es
          if [message] =~ /info|test/ { #如果message里面包含了info或者test字符,就删除此行,不写入es索引。
            drop {}
             }
           }
        multiline { #此模块需要安装,正则匹配,把同一时间戳的合并为一行日志,多个正则用'|'来隔开,写入到es。
            pattern => "^\s*(\d{4}|\d{2})\-(\d{2}|[a-zA-Z]{3})\-(\d{2}|\d{4})|^(.*)(\d{4}|\d{2})\-(\d{2}|[a-zA-Z]{3})\-(\d{2}|\d{4})\s(\d{2}):(\d{1,2})|^{(.*)}|^\d{4}|^(.*)(\d{4}|\d{2})\-(\d{2}|[a-zA-Z]{3})\-(\d{2}|\d{4})\s(\d{2}):(\d{1,2})"
            negate => true #在 multiline filter 中,negate 是一个布尔类型的参数。如果将其设置为 true,则该插件将只处理不匹配正则表达式的行。换句话说,如果 negate 值为 true,则只有在输入中找到不与 pattern 相匹配的行时,该插件才会开始合并日志行到上一个事件中。
            what => "previous"  #"previous"(默认值):将当前行添加到前一个事件的结尾。"next":将当前行添加到下一个事件的开头
        }
      }
      output {
        elasticsearch { #es地址
            hosts => "elasticsearch.kube-logging.svc.cluster.local:9200"
            index => "my_index-%{[agent][id]}-%{+yyyy.MM.dd}" #新建索引名字为agetn.id的值,此功能用于,区分不同的项目日志,如app1日志索引名字my_index-app1-20230423,app2日志索引名字my_index-app2-20230423,一次内推。
        }
       }

在这里插入图片描述

  1. 启动
kubectl apply -f ./

在这里插入图片描述

  1. 多匹配条件
apiVersion: v1
kind: ConfigMap
metadata:
  name: logstash-config
  namespace: logging
data:
  logstash.conf: |-
      input {
        beats {
            port => "5044"
        }
       }
      filter {
       if [kubernetes][labels][app_kubernetes_io/name]  == "dtk-go-open-api" {
        #字段=dtk-go-open-api中,删除message中包含---的行
        if [message] =~ /---/ {
           drop {}
             }
       }
       if [kubernetes][labels][app_kubernetes_io/name]  == "dtk-go-taobao-api" or [kubernetes][labels][app_kubernetes_io/name]  == "dtk-go-taobao-api-h" {
        #字段等于dtk-go-taobao-api或者等于dtk-go-taobao-api-h中,message中包含CheckNewGoodsSign或者CheckNewGoodsSign2的行添加字段new_index=CheckNewGoodsSign-index
        if [message] =~ /CheckNewGoodsSign|CheckNewGoodsSign2/ {
           mutate {
            add_field => { "new_index" => "CheckNewGoodsSign-index" }
        }
       }
        }
        }
      output {
       #如果new_index字段等于CheckNewGoodsSign-index就写入checknewgoodssign-%{+yyyy.MM.dd}索引,其他的走下面的索引。
       if [new_index] == "CheckNewGoodsSign-index" {
          elasticsearch {
            hosts => "elasticsearch.logging.svc.cluster.local:9200"
            index => "checknewgoodssign-%{+yyyy.MM.dd}"
               }
             }
       else {
          elasticsearch {
            hosts => "elasticsearch.logging.svc.cluster.local:9200"
            index => "%{[kubernetes][labels][app_kubernetes_io/name]}-%{+yyyy.MM.dd}"
        }
       }
      }
  1. 更新
apiVersion: v1
kind: ConfigMap
metadata:
  name: logstash-config
  namespace: logging
data:
  logstash.conf: |-
      input {
        beats {
            port => "5044"
        }
       }
      filter {
       if [kubernetes][labels][app_kubernetes_io/name]  == "dtk-go-open-api" {
        if [message] =~ /---/ {
           drop {}
             }
       }
       if [kubernetes][labels][app_kubernetes_io/name]  == "dtk-go-taobao-api-h" {
       #多匹配删除
        if [message] =~ /cloud.go:2279|cloud.go:2226/ {
           drop {}
             }
       }
      if [kubernetes][labels][app_kubernetes_io/name]  == "dtk-go-taobao-api" {
       if [message] =~ /-----auth_id-|-------11111----/{
          drop {}
            }
      }
       if [kubernetes][labels][app_kubernetes_io/name]  == "dtk-php-api-android-cms" {
           drop {}
       }
       if ![kubernetes][labels][app_kubernetes_io/name] {
             #空索引删除
           drop {}
       }

       if [kubernetes][labels][app_kubernetes_io/name]  == "dtk-go-taobao-api" or [kubernetes][labels][app_kubernetes_io/name]  == "dtk-go-taobao-api-h" {
        if [message] =~ /CheckNewGoodsSign|CheckNewGoodsSign2/ {
           mutate {
            add_field => { "new_index" => "CheckNewGoodsSign-index" }
        }
       }
        }
        }
      output {
       if [new_index] == "CheckNewGoodsSign-index" {
          elasticsearch {
            hosts => "elasticsearch.logging.svc.cluster.local:9200"
            index => "checknewgoodssign-%{+yyyy.MM.dd}"
               }
             }
       else if ![kubernetes][labels][app_kubernetes_io/name] {
          elasticsearch {
            hosts => "elasticsearch.logging.svc.cluster.local:9200"
            index => "index-unknown-%{+yyyy.MM.dd}"
          }
         }
       else {
          elasticsearch {
            hosts => "elasticsearch.logging.svc.cluster.local:9200"
            index => "%{[kubernetes][labels][app_kubernetes_io/name]}-%{+yyyy.MM.dd}"
        }
       }
      }
运维知多少
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash -filebeat 6.5 多行日志合并
Beckham的博客
05-09 1518
日志内容: authenticatorClient: <82fa722c1abd2ee6effd39ac954f3927> loginMode: <2> timestamp: <509110741> version: <48> 2020-05-09 11:07:41.200 |INFO | SENT: status:
logstash 多行合并
weixin_34228662的博客
05-11 1424
场景&环境 环境:内网UAT环境ELKelasticsearchlogstash、kibana)日志类型:Java ERROR Log格式:[级别] [时间] [class类] | messagegrok:\[%{LOGLEVEL}\] \[%{TIMESTAMP_ISO8601}\] \[%{JAVAFILE:class}\] \| (?&lt;info&gt;([\...
Kubernetes 企业项目实战】04、基于 K8s 构建 EFK+logstash+kafka 日志平台(上)
Stars.Sky 的博客
01-18 2726
EFK 组件详细介绍!!!
K8S 部署 logstash 解析 nginx log 接入ELK_logstash-8(1)
最新发布
2401_83944560的博客
04-17 634
注意:设置config.reload.interval时,一定要带上s(秒),否则会变成以毫秒间隔运行(官方文档还强调这是以秒为单位运行的,结果一开始没有设置单位,cpu瞬间爆满)logstash-xxx.conf 收集任务配置文件,可以有多个.cnf文件,统一挂载到容器的/usr/share/logstash/pipeline目录下即可。同样的pipeline.batch.delay 固定以毫秒间隔运行,也不宜设置过短,否则会频繁线程切换。logstash.yml logstash的主程序配置。
统一日志管理方案:Spring项目logback日志logstashElasticsearch整合
朱季谦
12-15 2251
providers:json格式提供者,对json进行一个定制化设置,比如,timestamp,message,thread_name等,其他的自定义的字段的值可以通过MDC设置进来,格式就是%date{xx},配置好,就可以先启动进行监听了,启动命令:先cd进到存放logstash.conf的目录下,我的目录在bin里,所以进入的是bin目录,执行:logstash -f logstash.conf。可以根据项目需求来选择合适的版本,经过测试,以上的1.2.3版本是可以符合要求的。
ELK日志系统中logstash插件 —— grok 正则捕获 . mutate数据修改 . multiline 多行合并 . date 时间处理插件
低温热源的博客
07-11 1295
测试成功的正则表达式写入logstash配置文件中filter {grok {match => [ "message" , "正则表达式" ]#match匹配 message字段 正则表达式 写在“ ”内语法举例捕获10或11和长度的十六进制数的queue_id可以使用表达式(?匹配IP\d{1,3} 数字1-3次 以间隔 重复4次匹配方式(get/post)A-Z一次或多次匹配网址/.* / 后所有响应时间。
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰 该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第二种类型是“摄取”类型,这是ElasticSearch文档中的摄取类型。 接收节点包括一个基于CPU使用率的horizo​​ntalalPodAutoscaler,这些节点连接到Kibana的内部服务以及外部HTTP输入的外部服务。 第三种类型是“数据”节点。 这些是使用statefulSet和PersistentVolumeClaims构造的,它们会相应缩放。 您只能按比例缩放(+ 1,-1,到最新的容器),并且所有通用的ElasticSearch规则都适用(如果删除的节点数量超过允许群集重新平衡自身之间无法承受
[kubernetes]-k8s1.18运行logstash7.11.1
爷来辣的博客
03-25 1752
导语:想把logstash放到k8s里 但是看到网上都是直接运行或者cm挂载一个配置 对内存的调整好像并没有,带着疑惑测试了一下。 直接docker运行 发现默认是1G内存 看很多博客好像都没有调整的,大佬们都不需要改的么。不知道怎么通过configmap挂进去,这边只能暂时去掉config/jvm.options中对内存的限制 通过限制pod的内存来限制logstash的内存。否则filebeat上传数据多了 logstash就撑不住了。 解压完logstash安装包 并自行修改相关配置 tar zx
(十八)从零开始搭建k8s集群——使用KubeSphere管理平台搭建logstash服务
厉害哥哥的博客
05-05 2714
logstashELK日志管理服务的重要组件之一,本节内容我们实现使用kubesphere管理平台搭建一个可横向扩展的高可用logstash服务,用于日志收集。由于logstash是一个无状态的流处理软件,本身是没有集群方案的,我们这里只是做一个横向扩展。使用的镜像版本为logstash:8.1.3,这个要与前面elasticsearch的版本号一致,负责可能会有版本不兼容,发生未知的错误。
实战Elastic Stack分析K8S应用日志--部署logstash
勿念旧梦
09-03 262
部署logstash ~]# docker pull logstash:6.8.6 ~]# docker images|grep logstash ~]# docker tag d0a2dac51fcb harbor.od.com/infra/logstash:v6.8.6 ~]# docker push harbor.od.com/infra/logstash:v6.8.6 ~]# mkdir /etc/logstash vi /etc/logstash/logstash-test.conf input
k8s部署elk8 直接通过logstash获取日志文件方式
本作者:想花
11-17 532
【代码】k8s部署elk8 直接通过logstash获取日志文件方式。
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash数据采集案例(一) 03 Logstash数据采集案例(二) 04...
Spring Boot 使用 logback、logstashELK 记录日志文件的方法
08-28
主要介绍了Spring Boot 使用 logback、logstashELK 记录日志文件的思路详解,文中给大家提到了logback 取代 log4j的理由,需要的朋友可以参考下
ELK(ElasticSearch,Logstash,Kibana)搭建实时日志分析平台
01-29
在搜索ELK资料的时候,发现这篇文章比较好,于是摘抄一小段: 以下内容来自:http://baidu.blog.51cto.com/71938/1676798日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器...
Springboot通过log4j2+logstash整合日志Elasticsearch
zuijiuhengdao的博客
09-09 4591
Springboot通过log4j2+logstash整合日志Elasticsearch, springboot+log4j2+ELK(Elasticsearch+Logstash+Kibana)简单整合
k8s部署elk+filebeat+logstash+kafka集群(三)logstash部署
filtercomp的博客
09-30 1894
k8s部署logstash用于消费kafka的数据
Logstash合并多行日志为一行(Tomcat日志合并和grok处理)
qq_40673345的博客
04-01 2491
tomcat的catalina.out日志如下: [root@localhost logs]# cat to_catalina.log -----------------alarm start------------------------ --------------mail start--------------- -----------------alarm start---------...
logstash 和 filebeat多行日志 合并
cagezxy的博客
11-17 1996
filebeat logstash 配置多行日志 合并
公司内网k8s部署elk
09-13
您好!部署 ELKElasticsearch, Logstash, Kibana)在 Kubernetes 上的方式有多种,以下是一种常见的方法: 1. 创建命名空间: ``` kubectl create namespace elk ``` 2. 部署 Elasticsearch: 首先,创建一个 Elasticsearch 的配置文件 `elasticsearch.yaml`,示例如下: ```yaml apiVersion: elasticsearch.k8s.elastic.co/v1 kind: Elasticsearch metadata: name: my-elasticsearch spec: version: 7.13.2 nodeSets: - name: default count: 1 config: node.store.allow_mmap: false ``` 然后,使用该配置文件进行部署: ``` kubectl apply -f elasticsearch.yaml -n elk ``` 3. 部署 Logstash: 首先,创建一个 Logstash 的配置文件 `logstash.yaml`,示例如下: ```yaml apiVersion: v1 kind: ConfigMap metadata: name: logstash-config namespace: elk data: logstash.conf: | input { # 配置输入来源,如日志文件、Kafka、Redis等 } filter { # 可选的过滤器,对输入进行处理 } output { elasticsearch { hosts => ["http://elasticsearch-master:9200"] index => "logs-%{+YYYY.MM.dd}" } } --- apiVersion: apps/v1 kind: DaemonSet metadata: name: logstash namespace: elk labels: app: logstash spec: selector: matchLabels: app: logstash template: metadata: labels: app: logstash spec: containers: - name: logstash image: docker.elastic.co/logstash/logstash:7.13.2 volumeMounts: - name: config mountPath: /usr/share/logstash/pipeline ports: - containerPort: 5044 resources: limits: memory: 1Gi cpu: 500m requests: memory: 512Mi cpu: 100m volumes: - name: config configMap: name: logstash-config ``` 然后,使用该配置文件进行部署: ``` kubectl apply -f logstash.yaml -n elk ``` 4. 部署 Kibana: 首先,创建一个 Kibana 的配置文件 `kibana.yaml`,示例如下: ```yaml apiVersion: kibana.k8s.elastic.co/v1 kind: Kibana metadata: name: my-kibana spec: version: 7.13.2 count: 1 elasticsearchRef: name: my-elasticsearch ``` 然后,使用该配置文件进行部署: ``` kubectl apply -f kibana.yaml -n elk ``` 以上是一种简单的部署 ELKKubernetes 的方法,您可以根据实际需求进行适配和调整。希望对您有帮助!如有需要进一步了解,请告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值