filebeat收集不上k8s日志排查小记

最新推荐文章于 2024-03-29 14:49:03 发布
最新推荐文章于 2024-03-29 14:49:03 发布
阅读量2.7k 收藏 4
点赞数 5
文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zss_89/article/details/122232538
版权

背景:

在一个k8s集群上,以daemonset的方式部署的filebeat,收集k8s各节点运行容器的日志。发现其中有一个宿主机节点的日志无法被收集上来,其他节点日志收集正常。

排查:

1. Filebeat运行的POD状态为Running状态。

2. 查看该filebeat运行日志,无异常信息。

3. 登录该异常的宿主机节点,进入filebeat配置文件配置的收集容器日志的目录,存在日志文件。

似乎看起来都正常。

再仔细看filebeat运行日志,在harvester相关的日志条目中,没有容器日志的目录。

同事找到了相关的文章,记一次EFK采集不到k8s日志数据的解决过程 - 代码天地

此文章出现问题的原因和我们的情况相似,但没有具体分析root cause。我来展开分析一下root cause:

filebeat pod挂载的容器Volume映射到宿主机上默认是/var/lib/docker/containers,而该k8s节点安装的docker不按标准的方式,放在了另外一个位置,导致宿主机的该目录,没有被挂载到filebeat pod中。而filebeat在pod收集的日志文件,需要通过软链接的方式,指向到/var/lib/docker/containers目录中。结果,在pod中,该软链接指向到了一个不存在的文件。尽管,在宿主机中,此软链接能正常指向。

兼容解决办法:

在filebeat的daemonset yaml配置文件中,添加该特殊目录至volumes和volumeMounts中。

青草地@~~
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s搭建EFK日志中心需要的部署文件
06-10
k8s搭建EFK日志中心需要的部署文件,适用于搭建elasticsearch + fluentd + kibana组成的日志分析平台。适合新手小白直接拿来执行使用的k8s部署脚本文件。因为镜像文件较大,所以需要对应镜像文件的请私聊。此种方案...
[问题已处理]-filebeat采集日志没有在kibana展示
爷来辣的博客
12-06 2977
导语:以前测试环境使用的es是老版本。不能设置生命周期,需要定时执行脚本删除索引。升级了es kibana filebeat3个最新版本7.14.1之后 发现日志没搜集到es,没展示在kibana中。 排查filebeat7.14.1日志 日志获取到了变更,并且连接到了es成功。 但是kibana没有对应的日志。 这边怀疑是升级版本的缘故。 更换成老版本的filebeat6.0.0,可以获取日志变更,并且连接到了es成功。日志采集成功。 这边判断是filebeat的问题。继续排查。使用7.14.1的file
elk-filebeat收集docker日志
嘿嘿嘿
11-19 2402
文章目录使用docker搭建elkfilebeat安装与配置docker容器设置参考文章首发地址 使用docker搭建elk 1、使用docker-compose文件构建elk。文件如下: version: '3' services: elk: image: sebp/elk:640 ports: - "5601:5601" - "9200:9200" ...
filebeat作为daemonSet
最新发布
xgw的专栏
03-29 130
【代码】filebeat作为daemonSet。
使用filebeat抓取文件并传送到logstash 没反应
u011196295的博客
12-19 1283
水水水水水水水水水水水水水
使用Filebeat采集json日志未能成功解析的问题以及其他踩过的坑
strggle_bin的博客
12-03 3045
每行日志被整个入到了ES索引中的一个message字段,而不是按照json解析后的字段入库 解决方案:这个问题的原因是因为json日志中只要有filebeat无法解析的格式,就会把整条记录当做一个字符串处理,入库到一个message字段,我是日志中有Windows下的路径,反斜杠和后面的字母被当做了转义字符无法识别,所以记录被截断导致解析失败。如果不是需要解析嵌套json对象的话,也不用配置什么processors,别搞复杂了! Filebeat日志中报 “Error decoding JSON: EOF.
Filebeat 日志不输出
逐月
08-26 6511
Config logging [WARNING] When Filebeat is running on a Linux system with systemd, it uses by default the -e command line option, that makes it write all the logging output to stderr so it can be captu...
k8s日志平台建设最佳实践.pdf
08-21
k8s日志平台建设最佳实践,Kubernetes 系统的核心问题,以及阿里巴巴 的解决方案,日志采集,资源消耗,运维代价,便捷使用
阿里云开源插件log-pilot(logpilot)搜集k8s部署应用容器内日志—超详细,超全面(带文档和相关软件包)
06-20
阿里云开源插件log-pilot(logpilot)搜集k8s部署应用容器内日志—超详细,超全面(带文档和相关软件包)
解决k8s中xxl-job执行器pod重建后无法读取到执行日志的问题
08-24
但在k8s中,即使将本地文件通过nfs独立存储,在pod重建后也通常会因为ip变更,找不到执行器,导致读取不到执行日志。解决方案为单独再部署一个xxl-job-read-log服务,将读日志的请求都转到这个服务上,由这个服务...
K8S日志查询工具公开版.zip
04-29
K8S日志查询工具公开版,免费无毒,方便快捷。使用前请关闭360,会误报。项目地址:https://github.com/hxz5215/K8S_logsearch_Tools.git
网易基于Filebeat日志采集服务设计与实践
qianshanding0708的博客
01-23 1111
- 背景 -云原生技术大潮已经来临,技术变革迫在眉睫。在这股技术潮流之中,网易推出了轻舟微服务平台,集成了微服务、Service Mesh、容器云、DevOps等组件,已经广泛应用于公...
filebeat日志采集
qq_21277357的博客
01-12 595
password: "hVdm3ICXpNkT9zozGlzc" es的密码 如果你的没有设置 可以删除掉。es,kibana,filebeat三个版本一定要一样,可以参考下面的链接安装es和kibana。username: "elastic" es的账号 如果你的没有设置 可以删除掉。/var/log/demo1/ docker容器的目录。/var/log/demo2/ docker容器的目录。我们在来kibana控制台看一下dm2索引下的内容。我们可以看到filebeat日志立马刷新了。
Filebeat 日志采集利器
zzhongcy的专栏
05-05 904
首先Filebeat是Beats中的一员。Beats在是一个轻量级日志采集器,其实Beats家族有6个成员,早期的ELK架构中使用Logstash收集、解析日志,但是Logstash对内存、CPU、io等资源消耗比较高。相比Logstash,Beats所占系统的CPU和内存几乎可以忽略不计。Filebeat结构:由两个组件构成,分别是inputs(输入)和harvesters(收集器),这些组件一起工作来跟踪文件并将事件数据发送到您指定的输出,harvester负责读取单个文件的内容。
EFK中filebeat读k8s容器日志丢失数据
小y的专栏
04-19 3976
问题:filebeat读取k8s container日志,生产到kafka过程中,出现丢数据。如下图实际生产了1w+日志,但只生产了5746条 定位: 因为是EFK流程,首先,需要确定是生产还是消费出现了问题,直接kafka命令行使用另外的消费组消费同一topic的kafka数据,得出的数据与kibana查的数据一致,说明消费没问题。 其次,因日志映射到host-path,同时在stdout也有打印(默认存储到了/data/lib/docker/containers/${data.kubernetes
ELK - Filebeat重启之后不读Log了?Registry file is too large
星之空
03-20 913
Filebeat重启之后突然不读Log了,看起来又是正常运行。 问一下有没有什么Bug,说Registry file is too large。 后来我看了一下,只有几十M,不大呀? 回复说,几十M已经太大了。 果然,对大的理解不太一样。 看一下文档,大概明白大的意思了,因为这其实是状态文件,Filebeat每时每刻都要读写。 Filebeat keeps the state of each file and persists the state to disk in the registry file.
每期一个小窍门: filebeat 简单日志文件抓取到es
李昊轩的博客
03-05 3222
一般不用k8s环境的情况下, filebeat 可以解决大部分的日志问题 下载filebeat: 6.2.4, 其实这个不像elk一样需要严格的三版本一致, 差不多就行 curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.4-linux-x86_64.tar.gz 解压, 如今的linux发行版已经不需要指定解压方式了 xvf 足够 tar xvf filebeat-6.2.4-linux-x86_6
如何配置Filebeat收集日志文件
小熊的专栏
04-25 3481
[Filebeat7.6] 日志输入 filebeat.inputs: - type: log paths: - /var/log/*.log - /var/path2/*.log 您可以添加额外的 配置设置(如fields, include_lines,exclude_lines,multiline,等),从这些文件中获取行。您指定的选项将应用于此输入收集的所有文件。 要将...
logstash排除特定文件或文件夹不采集上报日志数据
Zhang Phil
06-26 401
logstash排除特定文件或文件夹不采集上报日志数据有时候,并不打算让logstash采集特定的文件(比如.apk,.zip等文件)或文件夹作为日志数据上报,可以用exclude剔除掉。在配置文件写: 在file里面配置,上面代码首先排除D:/movie文件夹下面所有内容。然后把所有压缩文件、图片文件、视频文件、apk这些文件不作为日志采集对象。...
k8s filebeat
08-11
问题: k8s filebeat的部署方式是什么? 回答: 在k8s中部署filebeat有多种方式。一种常见的方式是使用DaemonSet模式,即在每个节点上运行一个filebeat实例,用于收集该节点上所有容器的日志。这种方式可以确保每个节点都有filebeat实例运行,从而保证日志收集的全面性和高可用性。可以通过使用官方提供的filebeat-kubernetes.yaml文件进行部署。可以通过以下命令来下载该文件:curl -L -O https://raw.githubusercontent.com/elastic/beats/7.9/deploy/kubernetes/filebeat-kubernetes.yaml。另外,也可以使用Elastic Cloud on Kubernetes (ECK)来部署filebeat,并与Elasticsearch和Kibana集群进行集成。这种方式需要先使用ECK部署Elasticsearch和Kibana集群,然后再部署filebeat并配置与集群的连接。详细的部署步骤可以参考相关文档。123 #### 引用[.reference_title] - *1* *2* [filebeat收集K8S日志,写入自动创建的索引](https://blog.csdn.net/yanggd1987/article/details/108414587)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *3* [【k8s容器日志收集】EFK收集日志,kubernetes守护进程方式部署filebeat收集k8s集群容器日志elasticsearch+...](https://blog.csdn.net/qq_35270805/article/details/124862134)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值