[单master节点k8s部署]21.EFK日志收集平台介绍

最新推荐文章于 2024-09-11 11:00:10 发布
最新推荐文章于 2024-09-11 11:00:10 发布
阅读量1k 收藏 8
点赞数 25
分类专栏: k8s单节master点 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45396500/article/details/140880108
版权
大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情 况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构建一套集中式日志系统,可以提高 定位问题的效率。
日志级别

日志有四种级别,依次是debug,info,warning和error。如果设置为收集info级别日志,则debug级别的信息就不会收集,如果是warning级别,则该级别下的日志就不会收集。具体收集到哪个等级需要按照实际情况,因为日志收集非常的耗费内存。

EFK

对于大型系统,日志需要集中的收集和管理,EFK是目前主流的日志收集管理技术栈之一,包括ElasticResearch\Fluentd\Kibana,Elasticsearch:用于存储和索引日志数据。而Fluentd用于收集处理和转发日志,相比于另一个技术栈ELK中使用的Logstash,Fluentd更加轻量级,因此对于新手使用更加友好,在这里我们使用Fluentd。而Kibana是一个可视化的插件。

具体流程为:

应用程序(AppServer)–>Logstash/Fluentd收集–>ElasticSearch存储和管理–>Kibana组织展示(处理数据、生成图表)–>浏览器(Browser)

考虑到聚合端(日志处理、清洗等)负载问题和采集端传输效率,一般在日志量比较大的时候在采集端和聚合端增加队列,以用来实现日志消峰。

ELK+filebeat

Logstash是一个比较好的工具,但是不够轻量级,因此如果使用Logstash,一般会结合filebeat使用,filebeat是一个轻量级的日志收集插件,而Logstash仅进行日Logstash 可以作为中央日志处理器,处理来自多个 Filebeat 实例的数据,进行复杂的日志处理和转换。相比纯 ELK 栈,ELK+Filebeat 在日志收集层更轻量高效。相比 EFK (Elasticsearch, Fluentd, Kibana),它保持了 Elastic Stack 的一致性和集成优势。

其他解决方案
Logstash(采集、处理)—> ElasticSearch (存储)—>Kibana (展示)
Logstash(采集)—> Logstash(聚合、处理)—> ElasticSearch (存储)—>Kibana (展示)
Filebeat(采集、处理)—> ElasticSearch (存储)—>Kibana (展示)
Filebeat(采集)—> Logstash(聚合、处理)—> ElasticSearch (存储)—>Kibana (展示)
Filebeat(采集)—> Kafka/Redis(消峰) —> Logstash(聚合、处理)—> ElasticSearch (存
储)—>Kibana (展示)
Elastic Stack
Elastic Stack 是一套 适用于数据采集、扩充、存储、分析和可视化的免费开源工具。人们通常将 Elastic Stack 称为 ELK Stack(代指 Elasticsearch、Logstash 和 Kibana),目前 Elastic Stack 包括一系列丰富的轻量型 数据采集代理,这些代理统称为 Beats,可用来向 Elasticsearch 发送数据。
目前 Beats 包含六种工具:
1、Packetbeat:网络数据(收集网络流量数据)
2、Metricbeat:指标(收集系统、进程和文件系统级别的 CPU 和内存使用情况等数据)
3、Filebeat:日志文件(收集文件数据)
4、Winlogbeat:windows 事件日志(收集 Windows 事件日志数据)
5、Auditbeat:审计数据(收集审计日志)
6、Heartbeat:运行时间监控(收集系统运行时的数据)
FileBeat
Filebeat 是用于转发和收集日志数据的轻量级传送工具。Filebeat 监视你指定的日志文件或位置,收集日志事件,并将它们转发到 Elasticsearch 或 Logstash 中。 
Filebeat 的工作方式如下:启动 Filebeat 时,它将启动一个或多个输入,这些输入将在为日志数据指定的位置中查找。对于 Filebeat 所找到的每个日志,Filebeat 都会启动收集器。每个收集器都读取单个日志以获取新内容,并将新日志数据发送到 libbeat,libbeat 将聚集事件,并将聚集的数据发送到为Filebeat 配置的输出。
Logstash
logstash是一个开源的数据收集和处理工具,主要用于数据的采集、转换和传输,可以从文件、TCP/UDP、Kafka、数据库等源获取数据,并 将处理后的数据发送到一个或多个目的地。但是重要的是它的转换功能, 将来自不同源的数据统一为一致的格式,便于后续分析和存储。
假设以下是收集的apache和json格式的日志: 
192.168.1.1 - - [18/Aug/2024:10:00:00 +0000] "GET /index.html HTTP/1.1" 200 1234 "http://example.com" "Mozilla/5.0"
{"timestamp": "2024-08-18T10:05:00", "level": "INFO", "message": "User login successful", "user_id": 12345}

通过logstach的功能进行转换,就可以转换为一致的格式:

input {
  file {
    path => "/var/log/apache/access.log"
    type => "apache"
  }
  file {
    path => "/var/log/app/application.log"
    type => "application"
  }
}

filter {
  if [type] == "apache" {
    grok {
      match => { "message" => "%{COMBINEDAPACHELOG}" }
    }
    date {
      match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
      target => "@timestamp"
    }
    mutate {
      add_field => { "event_type" => "web_access" }
    }
  }
  else if [type] == "application" {
    json {
      source => "message"
    }
    date {
      match => [ "timestamp", "ISO8601" ]
      target => "@timestamp"
    }
    mutate {
      add_field => { "event_type" => "app_log" }
    }
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "unified_logs-%{+YYYY.MM.dd}"
  }
}

这个配置做了以下工作:

  1. 定义两个输入源,分别读取Apache日志和应用日志。

  2. 对于Apache日志:

    • 使用grok过滤器解析Combined Log Format。
    • 将日期字符串转换为标准时间戳。
    • 添加一个"event_type"字段,值为"web_access"
    • Logstash 能够动态地转换和解析数据,不受格式或复杂度的影响: 1、利用 Grok 从非结构化数据中派生出结构 2、从 IP 地址破译出地理坐标 3、将 PII 数据匿名化,完全排除敏感字段 ,整体处理不受数据源、格式或架构的影响

  3. 对于应用日志:

    • 使用json过滤器解析JSON格式的日志。
    • 将ISO8601格式的时间戳转换为标准时间戳。
    • 添加一个"event_type"字段,值为"app_log"。

  4. 最后,将处理后的数据输出到Elasticsearch,使用统一的索引模式,如下:

{
  "@timestamp": "2024-08-18T10:00:00.000Z",
  "event_type": "web_access",
  "client_ip": "192.168.1.1",
  "request": "/index.html",
  "response_code": 200,
  "user_agent": "Mozilla/5.0"
}

{
  "@timestamp": "2024-08-18T10:05:00.000Z",
  "event_type": "app_log",
  "level": "INFO",
  "message": "User login successful",
  "user_id": 12345
}

fluentd

Fluentd 通常比 Logstash 更省资源。这主要是因为 Fluentd 是用 C 和 Ruby 编写的,而 Logstash 是用 Java 编写的。Fluentd 的内存占用通常较小,这在资源受限的环境中是一个明显的优势。

weixin_45396500
关注
专栏目录
kubernetes集群搭建efk日志收集平台
jks212454的博客
07-03 2539
kubernetes集群搭建efk日志收集平台
如何在k8s部署EFK日志监控系统?附示例之Elastic Search
代码闲聊站的博客
01-28 518
如何在Kubernetes环境中使用Docker镜像部署 EFK (Elastic Search + Filebeat/Fluentd + Kibana) 日志监控系统?本文将示例如何编写Elastic Search的部署文件,部署中间会遇到什么坑,如何解决?(详见末尾!详见末尾!!详见末尾!!!) 上部署文件: 个人在18年预研时编写的,当时的资料是很少的 es-dep.yaml # 指定部署类型为Deployment,实际生产时可能会部署为有状态的StatefulSet类型,并使用持久存储。 .
K8s部署轻量级日志收集系统EFK(elasticsearch + filebeat + kibana)
ζั͡山 ั͡有扶苏 ั͡✾的博客
10-11 2649
Pod 的选择基于标签。这个pod一次运行了两个容器,分别是kibanah和elasticsearch,并且把elasticsearch容器中的/usr/share/elasticsearch/data目录下的内容,挂载到了es-pv-claim下,我们可以在第三步中的NFS服务器共享目录中找到挂载的数据。点击侧边栏,选择discover,就能看到Filebeat收集到的容器日志,可以按照自己的需求进行日志筛选。的 Pod,这些 Pod 的端口 9200 和 9300 将被公开,并且可以通过相应的。
K8s部署轻量级日志收集系统EFK(elasticsearch + filebeat + kibana)_efk 系统日志 容器日志
2401_84166236的博客
04-17 705
默认的索引格式为filebeat-%{[agent.version]}-%{+yyyy.MM.dd},在Kibana上呈现的就是filebeat-2023.10.21-000001这样的索引命名格式,而且默认的索引模板和索引生命周期都与index中设置的filebeat-demo-%{[agent.version]}-%{+yyyy.MM.dd}无关。setup.template.name: “filebeat-demo” # 设置一个新的模板,模板的名称为filebeat-demo。
云原生Kubernetes部署EFK日志分析系统
weixin_73059729的博客
07-08 1319
Elasticsearch、Fluentd和Kibana。(EFK)技术栈也是官方推荐的一种方案。
EFK】基于K8S构建EFK+logstash+kafka日志平台
hj的博客
02-28 1987
Elasticsearch 是一个分布式的免费开源搜索和分析引擎,适用于包括文本、数字、地理空间、结构化和非结构化数据等在内的所有类型的数据。Elasticsearch 在 Apache Lucene 的基础上开发而成,由 Elasticsearch N.V.(即现在的 Elastic)于 2010 年首次发布。Elasticsearch 以其简的 REST 风格 API、分布式特性、速度和可扩展性而闻名,是 Elastic Stack 的核心组件;
k8s 部署智能化日志收集平台 EFK
热门推荐
高飞的博客
11-13 25万+
k8s 平台部署智能化日志收集平台采集 Pod 业务日志
K8s部署轻量级日志收集系统EFK(elasticsearch + filebeat + kibana)_efk 系统日志 容器日志(1)
kOS0ym的博客
04-17 769
kind: ServiceAccount #创建个SA账号metadata:name: nfs-client-provisioner #和上面的SA账号保持一致。
Kubernetes 企业项目实战】04、基于 K8s 构建 EFK+logstash+kafka 日志平台(下)
Stars.Sky 的博客
01-19 3353
基于 EFK+logstash+kafka 构建高吞吐量的日志平台
k8s~部署EFK框架
01-20
EFK,ELK都是目前最为流行的分布式日志框架,主要实现了日志收集,存储,分析等,它可以与docker容器进行结合,来收集docker的控制台日志,就是stdout日志. elasticsearch.master_data_client说明  默认情况下,每个节点...
Kubernetesk8s的helm扩展之监控管理、日志管理、部署efk【elk的升级版】详细说明
2401_83704159的博客
04-19 981
但是呢,我们现在是不知道用户名和密码的,别急,接着往下看。用户名密码查看登陆成功以后呢,就是这个界面模版的使用上面界面只是自带的,更多显示模版可以去官网上下载的,因为我集群没有外网,这个实验没法做,可以自行网上搜索prometheus的模版使用,教程有很多。日志管理【helm3 安装(部署)EFK【elk的升级版】】实际上日志管理就相当于部署EFK的流程,所以下面部署EFK,就相当于搭建好日志管理的kibana软件了【部署的每个功能看下面架构说明中注释哈】。架构说明ELK。
K8sEFK日志采集部署
最新发布
qianshang666的博客
09-11 1082
Kubernetes 集群作为一个整体,我们需要统一收集日志。但是 Kubernetes 并不提供任何日志收集功能,因此您需要设置一个集中的日志后端
K8s部署轻量级日志收集系统EFK(elasticsearch + filebeat
2401_84166327的博客
04-08 865
程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
云原生】【k8s】从小白到大神之路之学习运维第81天-------Kubernetes+EFK构建日志分析平台
2302_77582029的博客
08-16 235
云原生】【k8s】从小白到大神之路之学习运维第81天-------Kubernetes+EFK构建日志分析平台
Kubernetes+EFK构建日志分析平台
z2050025507的博客
08-17 1567
由于 Kubernetes容器编排领域的强势领先,使得越来越多的企业将业务迁至基于 Docker+Kubernetes 技术栈打造的容器管理平台,所以在 Kubernetes 集群环境下如何打造高效、可靠的业务日志收集系统也成为企业必须面临的问题。Kubeadm 通过初始化安装是不包括网络插件的,也就是说初始化之后是不具备相关网络功能的,比如 k8s-master 节点上查看节点信息都是“Not Ready”状态、Pod 的 CoreDNS无法提供服务等。Elasticsearch 具有如下特点。
Kubernetes 企业项目实战】04、基于 K8s 构建 EFK+logstash+kafka 日志平台(上)
Stars.Sky 的博客
01-18 2855
EFK 组件详细介绍!!!
k8s搭建EFK日志管理系统
weixin_39833509的博客
05-05 1248
k8s搭建EFK日志管理系统 efk就是目前比较受欢迎的日志管理系统。kubernetes可以实现efk的快速部署和使用,通过statefulset控制器部署elasticsearch组件,用来存储日志数据, 还可通过volumenclaimtemplate动态生成pv实现es数据的持久化。通过deployment部署kibana组件,实现日志的可视化管理。 通过daemonset控制器部署fluentd组件,来收集节点k8s集群的日志。 https://www.nnv5.cn/index.ph
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值