k8s部署ELK系列四:集成Logstash日志处理

于 2025-04-28 13:36:45 发布
阅读量1k 收藏 28
点赞数 24
文章标签: kubernetes elk 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wfcxhit/article/details/147574890
版权

k8s部署ELK系列四:集成Logstash日志处理

文章目录

在 Kubernetes 集群中,应用服务的日志对于故障排查和性能分析至关重要。传统的日志查看方式(如 kubectl logs)存在不便于集中管理和持久化存储的问题,因此,我们需要构建一套集中化的日志采集系统。
ELK(Elasticsearch + Logstash + Kibana)是目前主流的日志分析解决方案,其中 Logstash 作为日志处理与转发的核心组件,能够实现日志数据的解析、过滤与清洗,并灵活转发到不同的存储后端。
本篇文章将介绍如何在 Kubernetes 环境中部署 Logstash,实现日志的收集、处理与转发,为后续日志分析和可视化打下基础。在这里插入图片描述

一、Logstash简介

Logstash 是 Elastic Stack 中的一款强大且灵活的数据收集与处理引擎,主要用于从多种来源收集数据,进行过滤、解析、转化后,转发到指定的存储系统(如 Elasticsearch 等)。它支持丰富的输入、过滤器和输出插件,能够对日志数据进行结构化处理和格式化转换。
与传统的日志处理工具相比,Logstash 具备高扩展性和复杂数据处理能力,适用于构建灵活的数据采集与处理管道,广泛应用于日志分析、监控系统和安全审计场景中。

二、Logstash处理流程解析

Logstash 的数据处理流程可以分为以下三个主要阶段:

1. 输入(Input)

Logstash 的数据输入是指从各种数据源获取数据的过程。Logstash 提供了多种输入插件,可以连接不同的数据源,包括文件、数据库、消息队列等。在 Kubernetes 环境中,Logstash 常用的输入源有:

  • 文件输入(file):从本地或远程文件系统中读取日志。
  • Kafka输入(kafka):从 Kafka 集群中拉取日志消息。
  • Beats输入(beats):接收来自 Filebeat 等轻量级日志采集工具的日志数据。

2. 过滤(Filter)

Logstash 的强大之处在于它对数据进行复杂的过滤与转换处理。在这一阶段,Logstash 会根据预设的过滤条件,进行数据解析、格式化、增强等处理,确保数据以符合目标存储系统的格式进行传输。常见的 Logstash 过滤插件有:

  • grok:用于对日志进行模式匹配,提取结构化数据。可以从非结构化的日志文本中提取出如 IP 地址、时间戳、日志级别等字段。
  • mutate:用于对字段进行修改,比如重命名、删除、添加字段等。
  • date:将日志中的日期字段转换为标准时间戳格式,确保日志的时间一致性。
  • geoip:根据 IP 地址进行地理位置定位,添加地理信息字段。

3. 输出(Output)

在 Logstash 完成数据的解析与过滤后,最终会将处理过的数据输出到指定的目标存储系统。Logstash 支持多种输出插件,可以将数据输出到 Elasticsearch、Kafka、数据库、文件等系统。
在 Kubernetes 环境中,通常将处理过的日志数据输出到 Elasticsearch,以便进行后续的分析和可视化,或者输出到 Kafka 中进一步传递到其他服务。常见的输出插件有:

  • elasticsearch:将数据写入 Elasticsearch。
  • file:将数据写入文件。
  • stdout:将数据输出到控制台,便于调试。

三、Logstash实战部署

1. 创建Namespace(elk-namespace.yaml)

首先,创建一个新的命名空间,用于部署 ELK 相关的资源

apiVersion: v1
kind: Namespace
metadata:
  name: elk

2. 创建ConfigMap(logstash-configmap.yaml)

接下来,我们创建一个 ConfigMap,用来存储 Logstash 的配置文件。这里的配置将会告诉 Logstash 如何从 Kafka 中拉取日志,如何处理这些日志,并将其输出到 Elasticsearch

---
apiVersion: v1
kind: ConfigMap
metadata:
  namespace: elk
  name: logstash-config
  labels:
    app: logstash
data:
  logstash.conf: |
    input {
      kafka {
        bootstrap_servers => "kafka-0.kafka-headless.elk.svc.cluster.local:9092"
        topics => ["k8s-outlog"]
        group_id => "logstash-consumer-group"
        codec => "json"
        consumer_threads => 1
        decorate_events => true
        security_protocol => "PLAINTEXT"  
      }
    }

    filter {
      if [fields][logformat] == "json" {
        json {
          source => "message"
          target => "message"
        }
      }
    }

    output {
      if [fields][logtype] =~ "k8s-outlog.*" { 
        elasticsearch {
          hosts => ["http://elasticsearch-0.elasticsearch-cluster.elk.svc.cluster.local:9200"]
          index => "k8s-outlog-%{+YYYY.MM.dd}" 
        }
      }
      if [fields][logtype] =~ "k8s-messagelog.*" { 
        elasticsearch {
          hosts => ["http://elasticsearch-0.elasticsearch-cluster.elk.svc.cluster.local:9200"]
          index => "k8s-messagelog-%{+YYYY.MM.dd}" 
        }
      }
    }

3. 创建Service(logstash-service.yaml)

创建一个 Service 服务,以便其他 Pod 能够访问 Logstash

apiVersion: v1
kind: Service
metadata:
  name: logstash
  namespace: elk
  labels:
    app: logstash
spec:
  selector:
    app: logstash
  ports:
    - protocol: TCP
      port: 5044 
      targetPort: 5044
  type: ClusterIP

4. 创建Deployment(logstash-deployment.yaml)

接下来,创建 Logstash 的 Deployment,指定 Logstash 容器的镜像、环境变量和配置文件挂载等信息

apiVersion: apps/v1
kind: Deployment
metadata:
  name: logstash
  namespace: elk
spec:
  replicas: 1
  selector:
    matchLabels:
      app: logstash
  template:
    metadata:
      labels:
        app: logstash
    spec:
      containers:
      - name: logstash
        image: harbor.local/k8s/logstash:7.17.0
        env:
        - name: "PIPELINE_WORKERS"
          value: "2"
        - name: "PIPELINE_BATCH_SIZE"
          value: "5000"
        - name: "PIPELINE_BATCH_DELAY"
          value: "2"
        - name: "LS_JAVA_OPTS"
          value: "-Xms512m -Xmx1g"
        - name: "path.config"
          value: "/usr/share/logstash/pipeline"
        - name: "xpack.monitoring.elasticsearch.hosts"
          value: "http://elasticsearch-0.elasticsearch-cluster.elk.svc.cluster.local:9200"
        volumeMounts:
        - name: config
          mountPath: /usr/share/logstash/pipeline/logstash.conf
          readOnly: true
          subPath: logstash.conf
        - mountPath: /etc/localtime
          readOnly: true 
          name: tz-config
      volumes: 
      - name: config
        configMap:
          name: logstash-config
      - name: tz-config 
        hostPath: 
          path: /etc/localtime

5. 部署所有资源

将上述 YAML 文件保存后,使用以下命令统一部署

kubectl apply -f elk-namespace.yaml
kubectl apply -f logstash-configmap.yaml
kubectl apply -f logstash-service.yaml
kubectl apply -f logstash-deployment.yaml

6. 验证Logstash Pod状态

kubectl get pod -n elk

在这里插入图片描述

总结

📌 通过本实战,我们成功在 Kubernetes 集群中部署了 Logstash,并通过 Kafka 收集日志数据、进行处理后输出到 Elasticsearch。这是实现集中化日志管理和分析的关键一步。通过 Logstash 的强大功能,我们能够灵活地处理不同来源的日志数据,并将其转发到指定的存储系统,为后续的日志分析和可视化提供了基础。

下一篇文章将深入探讨 Kibana 的部署,作为 ELK 堆栈的最后一个组件,我们将配置 Kibana 以便可视化 Elasticsearch 中存储的日志数据,提升日志查询和分析的便捷性。

【SpringCloud微服务实战10】DevOps自动化部署微服务项目(Jenkins+Docker+K8s)
李维山的博客
03-28 2266
DevOps 是一种重视软件开发人员(Developer)和运维人员(Operations)之间沟通与协作的文化、运动或实践,目标在于快速交付高质量的软件产品和服务。DevOps 强调自动化流程、持续集成与交付(CI/CD)、以及通过工具链、敏捷方法论和跨职能团队协作来增强软件的可靠性和安全性。在 DevOps 中,开发、测试、部署和监控等多个环节紧密连接,形成一个高效的工作流。
K8S 部署 logstash 解析 nginx log 接入ELK_logstash-8
2401_83739727的博客
05-15 502
本来觉得应该挺简单的,部署logstash容器,把日志文件挂载上就完事,结果很是折腾了一番,里面涉及到一些细节点(主要也是我做研发出身对这块不熟),网上找了很多文章,都没有能一次解决的,今天将我部署的过程分享一下,希望能帮到需要的同学。
Kubernetes 企业项目实战】04、基于 K8s 构建 EFK+logstash+kafka 日志平台(上)
GG Bond 的博客
01-18 3006
EFK 组件详细介绍!!!
(十八)从零开始搭建k8s集群——使用KubeSphere管理平台搭建logstash服务
厉害哥哥的博客
05-05 2931
logstashELK日志管理服务的重要组件之一,本节内容我们实现使用kubesphere管理平台搭建一个可横向扩展的高可用logstash服务,用于日志收集。由于logstash是一个无状态的流处理软件,本身是没有集群方案的,我们这里只是做一个横向扩展。使用的镜像版本为logstash:8.1.3,这个要与前面elasticsearch的版本号一致,负责可能会有版本不兼容,发生未知的错误。
基于K8S部署filebeat及logstash并输出到java程序中
文涛的专栏
11-25 1949
以守护进程的方式运行Filebeat,Filebeat将采集日志通过logstash发送的JAVA程序中,再由JAVA程序处理后,集中存储起来。每个POD中额外增加一个Filebeat容器,Filebeat通过文件共享方式,读取相应的日志并通过logstash发送到JAVA程序中。DaemonSet方式采集容器的标准输出,如果有特殊需求,再通过Sidecar方式定制采集日志即可。至此,便可获得logstash发送过来的日志信息了,容器日志均是Json格式。采集K8S集群的容器日志,并集中存储。
k8s部署elk+filebeat+logstash+kafka集群(三)logstash部署
filtercomp的博客
09-30 2140
k8s部署logstash用于消费kafka的数据
k8s部署Logstash多节点示例(超详细讲解)
博客虽小,世界尽在其中
06-07 2694
本文全面介绍了如何在KubernetesK8s)环境中部署和配置Logstash多节点集群的详细步骤。Logstash是一款强大的日志收集、处理和转发的开源工具,而Kubernetes作为容器编排的领先平台,为Logstash提供了高可用性和扩展性的理想环境。 文章首先概述了Logstash在日志管理中的重要性,并解释了为什么选择在Kubernetes部署Logstash多节点集群。随后,详细阐述了整个部署过程,包括必要的准备工作、环境配置、Docker镜像构建、Kubernetes资源定义
K8s + Docker 部署ELK日志系统
lzy_zhi_yuan的博客
07-06 3224
K8s + Docker 部署ELK日志系统,分布式/微服务架构下必备技能!前提:假定你已经安装并集成好docker、docker私服和k8s基础环境!部署Elasticsearch1、...
k8s部署Elasticsearch高可用集群详细教程
热门推荐
博客虽小,世界尽在其中
06-13 1万+
本文详细介绍了如何在Kubernetes(简称K8s)环境中部署一个高可用的Elasticsearch集群。随着数据量的不断增长,Elasticsearch因其强大的全文搜索和数据分析功能而备受欢迎。然而,如何确保Elasticsearch集群的高可用性、稳定性和可扩展性成为了一个重要议题。本文将从环境准备、配置设计、部署步骤和监控管理等方面全面阐述如何在K8s中构建和运维一个健壮的Elasticsearch集群。
K8S在线安装部署手册.rar
03-21
1. **日志管理**:使用`kubectl logs`查看Pod日志,也可集成LogstashELK栈等进行集中处理。 2. **健康检查**:Pods内可定义Liveness和Readiness Probe,监控应用健康状态。 3. **资源监控**:借助Prometheus、...
K8s在蘑菇应用实践:架构与实现解析
此外,监控和日志收集也是k8s生产环境中不可或缺的部分,通常会集成Prometheus、Grafana等工具进行性能监控,以及ELK(Elasticsearch, Logstash, Kibana)堆栈进行日志管理。 在压力测试情况下,k8s可以通过...
FIlebeat和Logstash部署步骤
02-26
FileBeat,隶属于Beats,是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash
Kubernetes日志采集与分析的最佳实践
02-14
Kubernetes日志采集与分析的最佳实践 分享嘉宾:阿里云日志服务技术专家 元乙
kubernetes-elk-cluster, 在Kubernetes的顶部,ELK ( Elasticsearch Logstash Kibana ) 集群.zip
09-18
kubernetes-elk-cluster, 在Kubernetes的顶部,ELK ( Elasticsearch Logstash Kibana ) 集群 kubernetes-elk-clusterELK ( 英镑 Elasticsearch Logstash 英镑 Kibana ),使easy轻松。在这里你可以找到:连接Elasticsearch客户端节点容器和Logst
[kubernetes]-k8s1.18运行logstash7.11.1
爷来辣的博客
03-25 1828
导语:想把logstash放到k8s里 但是看到网上都是直接运行或者cm挂载一个配置 对内存的调整好像并没有,带着疑惑测试了一下。 直接docker运行 发现默认是1G内存 看很多博客好像都没有调整的,大佬们都不需要改的么。不知道怎么通过configmap挂进去,这边只能暂时去掉config/jvm.options中对内存的限制 通过限制pod的内存来限制logstash的内存。否则filebeat上传数据多了 logstash就撑不住了。 解压完logstash安装包 并自行修改相关配置 tar zx
Kubernetes 企业项目实战】04、基于 K8s 构建 EFK+logstash+kafka 日志平台(下)
GG Bond 的博客
01-19 3490
基于 EFK+logstash+kafka 构建高吞吐量的日志平台
K8S 部署 logstash 解析 nginx log 接入ELK
最新发布
2401_87197352的博客
09-18 1460
“cni.projectcalico.org/ipAddrs”: “[“10.244.220.10”]” #pod绑定固定ip,依赖于calico ipam插件,必须使用calico 3.24.1以上的版本才可以。# sincedb_path => “自定义位置” # 此参数记录了读取日志的位置,默认在 data/plugins/inputs/file/.sincedb*#start_position => “beginning” # 此参数表示在第一次读取日志时从头读取。
K8S 部署 logstash 解析 nginx log 接入ELK_logstash-8(1)
2401_83944560的博客
04-17 796
注意:设置config.reload.interval时,一定要带上s(秒),否则会变成以毫秒间隔运行(官方文档还强调这是以秒为单位运行的,结果一开始没有设置单位,cpu瞬间爆满)logstash-xxx.conf 收集任务配置文件,可以有多个.cnf文件,统一挂载到容器的/usr/share/logstash/pipeline目录下即可。同样的pipeline.batch.delay 固定以毫秒间隔运行,也不宜设置过短,否则会频繁线程切换。logstash.yml logstash的主程序配置。
K8S实践从0到1 进阶篇:K8S 部署 logstash 解析 nginx log 接入ELK
fireshark
03-18 1473
使用k8s 部署 logstash 解析 nginx access log 并接入到 ELK
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值