ELK:关于Elastic Agent中docker集成中筛选指定容器日志的方法

最新推荐文章于 2024-04-11 19:10:43 发布
最新推荐文章于 2024-04-11 19:10:43 发布
阅读量237 收藏
点赞数 1
分类专栏: 我遇到的问题 文章标签: docker elk 容器 运维 elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x541443901/article/details/130007104
版权

目标:筛选镜像名开头为"ed"的容器日志
例子:

processors:
  - drop_event:
      when:
        and:
          - has_fields: ['container.name']
          - and:
              - not.contains:
                  container.name: name1
              - not.contains:
                  container.name: name2
              - not.contains:
                  container.name: name3
              - not.contains:
                  container.name: name4

我的写法:

- drop_event:
      when:
        and:
          - has_fields: ['container.image.name']
          - and:
              - not.contains:
                  container.image.name: "ed"

在这里插入图片描述
在这里插入图片描述
在kibana上查看效果
在这里插入图片描述

处理器查找原理
docker 模块和处理器配置是两个独立的东西。当使用处理器时,它不会改变任何模块的任何行为。更准确地说,以下是将遵循的步骤:
1.Docker 模块轮询指标并创建包含所有详细信息的事件。
2.Elastic Agent在发送事件以供摄取之前检查任何事件操作的配置。瞧,你的处理器找到了。
3.drop_event执行处理器并检查条件has_fields AND not.contains并决定是否删除事件。此时,模块已经完成了轮询和创建事件的任务
4.做出决定后drop_event,将或不会将事件发送到您配置的输出以供摄取。

解决方案来自elastic官方论坛,原帖链接:
https://discuss.elastic.co/t/metricbeat-to-monitor-specific-docker-containers-by-name-image/323986/3

万岁山泡泡
关注
专栏目录
基于Elasticsearch + Fluentd + Kibana(EFK)搭建日志收集管理系统
dvlinker的技术专栏
07-01 1万+
详细讲述基于Elasticsearch、Fluentd和Kibana的日志管理系统搭建过程。
Docker引擎不同的日志驱动配置以及通过Filebeat采集容器日志的两种解决方案
weixin_42467874的博客
02-06 1893
我们可以使用 docker logs 命令查看 Docker 容器内部应用程序运行时所产生的日志。使用 docker logs 命令可以免除首先进入 Docker 容器,再打开应用程序的日志文件的过程。docker logs 会监控容器操作系统的标准输出设备(STDOUT),一旦 STDOUT 有数据产生,就会将这些数据传输到另一个“设备”,该 Docker 的驱动被称为“日志驱动”(Logging Driver)
docker 筛选日志
易的博客
03-21 1549
当前租户获取其他告警记录的租户号和首条记录为。docker 筛选日志
日志分析系统——ELK
与之二三事、
08-13 1387
目录1. ELK日志分析系统概述 1. ELK日志分析系统概述 困了困了 睡觉了兄弟萌
ELKElasticsearch+Logstash+Kibana)日志分析系统
最新发布
十七拾的博客
04-11 6143
本文主要介绍了ELK日志文件系统的概念和部署过程,详细阐释了Elasticsearch、Logstash、Kibana三个开源的日志收集、存储、检索和可视化的工具
elasticsearch+kibana 日志系统配置java日志解析和过滤无用字段
weixin_39660224的博客
03-21 1045
前言 elk日志系统用法此篇文章不做描述,一般来说elkelastic、logstash、kibana,但是小编所在公司不是大公司,logstash如果和elastic放在一台服务器,一般的服务器拖不动,按照之前的经验如果数据量大,内存至少在8g之上,那么就不配置logstash了,elastic内置的解析器能实现一般的业务要求了 具体操作 elastic配置ingest(解析器) inges...
ELK:对于docker使用logstash收集nginx日志elasticsearch的步骤小结
qq_40673345的博客
12-19 2694
基于CentOs7 “ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”。Kibana 则可以让用户在 Elasticsearch 使...
docker安装ELK日志平台
02-06
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后...
不得不学,从零到一搭建ELK日志Docker环境下部署 logstash工具
Java_zhujia的博客
11-14 480
Logstash是具有实时流水线能力的开源的数据收集引擎。Logstash可以动态统一不同来源的数据,并将数据标准化到您选择的目标输出。它提供了大量插件,可帮助我们解析,丰富,转换和缓冲任何类型的数据。我们主要完成在Docker环境下部署 logstash 日志收集工具,他是搭建ELK日志非常重要的一部分,上一篇文章Filebeat日志收集完成之后,将数据写入 Elasticsearch 后用 Kibana 进行可视化展示,现在我们已经完成了。
基于ELK自动化收集Docker容器日志的分析系统
01-27
针对Docker容器集群日志的收集和集处理的问题。本文采用Docker Swarm和Etcd实现容器的管理、服务发现以及调度,并为分布式系统提供支撑。使用主流的开源日志收集系统ELK,并结合分布式消息队列redis部署实时消息自动化系统,能够快速、实时地收集应用日志,提高运维人员的工作效率。详细介绍了DockerELKDocker Swarm和Etcd的功能及原理,最后通过使用容器编排工具docker-compose,一键式构建基于Docker容器ELK日志收集系统的实验环境,证明了本系统收集Docker容器日志的实时性、稳定性和高可用性。
ELK 日志分析实例
weixin_30311605的博客
03-21 548
ELK 日志分析实例一、ELK-web日志分析二、ELK-MySQL 慢查询日志分析三、ELK-SSH登陆日志分析四、ELK-vsftpd 日志分析 一、ELK-web日志分析 通过logstash grok正则将web日志过滤出来,输出到Elasticsearch搜索引擎里,通过Kibana前端展示。 1.1、创建logstash grok过滤规则 #cat ./l...
devops 日志处理
davidliuzkw的博客
05-23 950
elkelasticsearch kibana l是啥鬼??logstash kubenetes上的日志收集模式:https://www.jianshu.com/p/72f34de4dd35 一共有三种收集模式:一个是DaemonSet模式,一个是sidecar模式,一个是自带的kubctl log的模式。各有优势。。 sidecar就是把日志收集和处理功能从app拆分出来,就像摩托车的...
Elasticearch Filter Query 过滤查询--(五)
好好学习技术
02-07 1452
Elasticearch Filter Query 过滤查询
ElasticSearch_03_ES的基本筛选条件
毛毛的专栏
10-07 1091
ES的基本筛选条件
Logstash:运用 Elasticsearch 过滤器来丰富数据
Elastic 中国社区官方博客
06-16 2239
针对 Logstash 的数据丰富,除了我们之前介绍的 GeoIP 过滤器外,我之前也介绍了 “运用jdbc_streaming来丰富我们的数据”。在今天的文章,我们介绍如何使用 Elastcsearch 过滤器来丰富我们的数据。 在Elasticsearch搜索上一个日志事件,并将其的某些字段复制到当前事件。 以下是有关如何使用此过滤器的两个完整示例。 第一个示例使用传统查询参数,其用户仅限于Elasticsearch query_string。 每当logstash收到 “end” 事件时
利用Docker容器搭建ELK应用日志
树袋熊
04-13 229
镜像准备 [root@root ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE nginx latest bb776ce48575 2 days ago 1...
docker swarm集群日志管理ELK实战
山不转的博客
04-18 7675
docker默认日志管理        docker部署完成后,运行docker info命令,如下图所示:        上图红框内的"json-file",指的是当启动某个容器时,如果不特别指定容器所采用的log驱动,则使用json-file这种方式。当采用这种方式的容器在创建时,docker daemon会首先在宿主机上创建一个与这个容器相关联的文件,当容器运行时,docker daemo...
强大的ELK日志分析系统!
guguai7的博客
08-16 6155
ELK日志分析系统一.ELK日志分析系统简介1.日志服务器的优缺点2.ELK简介3.Logstash管理包含四种工具4.elk工作原理二.Elasticsearch介绍三.Elasticsearch的基础核心概念:1.接近实时(NRT)2.集群(cluster)3.节点(node)4.索引(index)5.类型(type)6.文档(document)7.分片和副本(shards & replicas)四.logstash介绍1.logStash的主要组件:2.LogStash主机分类:五.Kiban
【教你通透ELK】Kibana 仪表盘设计
走向CTO的路上...
08-25 226
通过搜集数据、创建索引模板、导入数据到Elasticsearch、创建仪表盘、配置仪表盘和分享和发布仪表盘,可以设计出具有吸引力和实用价值的仪表盘,帮助用户快速了解和分析数据。DELETE /api/saved_objects/dashboard/{dashboard_id}:删除仪表盘。PUT /api/saved_objects/dashboard/{dashboard_id}:修改仪表盘。GET /api/saved_objects/dashboard/{dashboard_id}:查询仪表盘。
ELK kibana查询与过滤
热门推荐
yzx3105的博客
06-07 1万+
Kibana拆分字段的时候,可能是根据空格拆分的。 例如:nested exception is java.net.SocketTimeoutException: Read timed out , 单独搜索 nested ,exception 都可以,但单独搜索 SocketTimeoutException 是搜不到的。 但是java.net.SocketTimeoutException可以搜索到。 1. 使用双引号包起来作为一个短语搜索: “like Gecko” 2. ? 匹配单个字符; * 匹配0到
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值