2. 程式人生 > >Filebeat 收集K8S 日誌,生產環境實踐

Filebeat 收集K8S 日誌,生產環境實踐

阿新 發佈:2020-08-11
根據生產環境要求,需要採集K8S Pod 日誌,和開發協商之後,Pod中應用會將日誌輸出到容器終端上,這時可以直接用filebeat 採集node節點上面的`/var/log/containers/*.log`日誌,然後將日誌輸出到kafka訊息佇列中,經過kafka將日誌寫入logstash進行格式化,然後由logstash傳入elasticsearch儲存,然後kibana會連線elasticsearch展示索引資料。 資料傳輸流程:**Pod -> `/var/log/containers/*.log` -> Filebeat -> Kafka叢集 -> Logstash -> Elasticsearch -> Kibana** ## K8S 配置Filebeat 整體配置檔案如下: ```shell $ ls filebeat.daemonset.yml filebeat.permission.yml filebeat.indice-lifecycle.configmap.yml filebeat.settings.configmap.yml ``` ### Filebeat操作許可權 ```shell $ cat filebeat.permission.yml --- apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRoleBinding metadata: name: filebeat subjects: - kind: ServiceAccount name: filebeat namespace: kube-system roleRef: kind: ClusterRole name: filebeat apiGroup: rbac.authorization.k8s.io --- apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRole metadata: name: filebeat labels: app: filebeat rules: - apiGroups: [""] resources: - namespaces - pods verbs: - get - watch - list --- apiVersion: v1 kind: ServiceAccount metadata: namespace: kube-system name: filebeat labels: app: filebeat ``` ### Filebeat主配置檔案 > 注意:如果收集Java堆疊錯誤日誌,需要增加下面帶註釋的幾行引數,multiline多行處理解決次問題。 ``` $ cat filebeat.settings.configmap.yml --- apiVersion: v1 kind: ConfigMap metadata: namespace: kube-system name: filebeat-config labels: app: filebeat data: filebeat.yml: |- filebeat.inputs: - type: container enabled: true paths: - /var/log/containers/*.log multiline: # 多行處理,正則表示如果前面幾個數字不是4個數字開頭,那麼就會合併到一行,解決Java堆疊錯誤日誌收集問題 pattern: ^\d{4}-\d{1,2}-\d{1,2}\s\d{1,2}:\d{1,2}:\d{1,2} #匹配Java日誌開頭時間 negate: true # 正則是否開啟,預設false不開啟 match: after # 不匹配的正則的行是放在上面一行的前面還是後面 processors: - add_kubernetes_metadata: in_cluster: true host: ${NODE_NAME} matchers: - logs_path: logs_path: "/var/log/containers/" - add_cloud_metadata: - add_kubernetes_metadata: matchers: - logs_path: logs_path: "/var/log/containers/" - add_docker_metadata: output: kafka: enabled: true # 增加kafka的輸出 hosts: ["10.0.0.72:9092"] topic: filebeat max_message_bytes: 5242880 partition.round_robin: reachable_only: true keep-alive: 120 required_acks: 1 setup.ilm: policy_file: /etc/indice-lifecycle.json ``` ### Filebeat索引生命週期策略配置 > ElasticSearch 的 indice 生命週期表示一組規則,可以根據 indice 的大小或者時長應用到你的 indice 上。比如可以每天或者每次超過 1GB 大小的時候對 indice 進行輪轉,我們也可以根據規則配置不同的階段。由於監控會產生大量的資料,很有可能一天就超過幾十G的資料,所以為了防止大量的資料儲存,我們可以利用 indice 的生命週期來配置資料保留,這個在 Prometheus 中也有類似的操作。 如下所示的檔案中,我們配置成每天或每次超過5GB的時候就對 indice 進行輪轉,並刪除所有超過30天的 indice 檔案,我們這裡只保留30天監控資料完全足夠了。 ``` filebeat.indice-lifecycle.configmap.yml --- apiVersion: v1 kind: ConfigMap metadata: namespace: kube-system name: filebeat-indice-lifecycle labels: app: filebeat data: indice-lifecycle.json: |- { "policy": { "phases": { "hot": { "actions": { "rollover": { "max_size": "5GB" , "max_age": "1d" } } }, "delete": { "min_age": "30d", "actions": { "delete": {} } } } } } ``` ### Filebeat Daemonset配置檔案 ``` $ cat filebeat.daemonset.yml --- apiVersion: apps/v1 kind: DaemonSet metadata: namespace: kube-system name: filebeat labels: app: filebeat spec: selector: matchLabels: app: filebeat template: metadata: labels: app: filebeat spec: serviceAccountName: filebeat terminationGracePeriodSeconds: 30 containers: - name: filebeat image: docker.elastic.co/beats/filebeat:7.8.0 args: [ "-c", "/etc/filebeat.yml", "-e", ] env: - name: NODE_NAME valueFrom: fieldRef: fieldPath: spec.nodeName securityContext: runAsUser: 0 resources: limits: memory: 200Mi requests: cpu: 100m memory: 100Mi volumeMounts: - name: config mountPath: /etc/filebeat.yml readOnly: true subPath: filebeat.yml - name: filebeat-indice-lifecycle mountPath: /etc/indice-lifecycle.json readOnly: true subPath: indice-lifecycle.json - name: data mountPath: /usr/share/filebeat/data - name: varlog mountPath: /var/log readOnly: true - name: varlibdockercontainers mountPath: /var/lib/docker/containers readOnly: true - name: dockersock mountPath: /var/run/docker.sock volumes: - name: config configMap: defaultMode: 0600 name: filebeat-config - name: filebeat-indice-lifecycle configMap: defaultMode: 0600 name: filebeat-indice-lifecycle - name: varlog hostPath: path: /var/log - name: varlibdockercontainers hostPath: path: /var/lib/docker/containers - name: dockersock hostPath: path: /var/run/docker.sock - name: data hostPath: path: /var/lib/filebeat-data type: DirectoryOrCreate ``` ### 執行到K8S中 ``` $ kubectl apply -f filebeat.settings.configmap.yml \ -f filebeat.indice-lifecycle.configmap.yml \ -f filebeat.daemonset.yml \ -f filebeat.permissions.yml configmap/filebeat-config created configmap/filebeat-indice-lifecycle created daemonset.apps/filebeat created clusterrolebinding.rbac.authorization.k8s.io/filebeat created clusterrole.rbac.authorization.k8s.io/filebeat created serviceaccount/filebeat cre

相關推薦

Filebeat 收集K8S 日誌生產環境實踐

根據生產環境要求,需要採集K8S Pod 日誌,和開發協商之後,Pod中應用會將日誌輸出到容器終端上,這時可以直接用filebeat 採集node節點上面的`/var/log/containers/*.log`日誌,然後將日誌輸出到kafka訊息佇列中,經過kafka將日誌寫入logstash進行格式化,然後

logminer實戰之生產環境寫入數據字典dg環境查詢拷貝日誌測試環境進行挖掘輸出結果

主庫 節點 對象 markup spool 拷貝 fir 準備工作 表格 應客戶需要,對某一天的日誌進行挖掘,分析日均歸檔日誌切換數量20增長至40的原因,是什麽表的dml操作導致的日誌量劇增,最終定位某個應用(需要客戶自己進行甄別) 操作說明及介紹: 1.客戶10.2

Flume-ng生產環境實踐(三)實現檔案sink按照固定格式目錄輸出

package org.apache.flume.sink; import java.io.BufferedOutputStream; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; impor

總結:利用asp.net core日誌進行生產環境下的錯誤排查(asp.net core version 2.2用IIS做伺服器)

概述 除錯asp.net core程式時,在輸出視窗中,在輸出來源選擇“除錯”或“xxx-ASP.NET Core Web伺服器”時,可以看到類似“info:Microsoft.AspNetCore.Hosting.Internal.WebHost[2] Request finished in 28

K8S 使用 SideCar 模式部署 Filebeat 收集容器日誌

對於 K8S 內的容器日誌收集,業內一般有兩種常用的方式: * 使用 DaemonSet 在每臺 Node 上部署一個日誌收集容器,用於收集當前 Node 上所有容器掛載到宿主機目錄下的日誌 * 使用 SideCar 模式將日誌收集容器與業務容器部署在同一個 Pod 中,只收集對應容器的日誌 這兩種方式各

基於centos7.3 redhat7.3安裝LAMP(php7.0 php7.1)生產環境實踐

php mysql lamp #將yum安裝的包緩沖到本地,然後制作本地local_yumvim /etc/yum.conf#本機信息hostnameLAMPip192.168.42.10#由於官網yum源下載慢,這裏添加ali源yum clean all rm -rf /etc/yum.repo

angular4的多環境(測試環境與開發環境生產環境

mage gpo 多環境 png div info 環境 生產環境 AR 使生成項目可以多環境運行(測試環境與開發環境,生產環境) 這裏對應的是不同的運行環境,隨時通過上面的方式進行切換 同樣著也可以用在部署環境上面、、這個表式編譯生成生產環境的微信號

生產環境實踐:redis高可用架設

rediskeepalived 經過測試,當主redis停掉的時候,可以5秒鐘內切換到從redis,反之切換到主,也是一樣的時間。 在A服務器(192.168.16.29),B服務器(192.168.16.2)上均安裝redis,keepalived。 A作為默認的master,B作為sla

生產環境實踐Mysql5.7主從+Atlas實現讀寫分離

pro c-c creators 日誌 可執行 公眾 var timeout 錯誤信息 Mysql主從搭建 主從復制可以使MySQL數據庫主服務器的主數據庫,復制到一個或多個MySQL從服務器從數據庫,默認情況下,復制異步; 根據配置,可以復制數據庫中的所有數據庫,選定的

SpringBoot解決測試環境生產環境使用不同application.properties的問題

main ron 測試 image sta http string 代碼 cat 如何獲取你寫的Active Profile呢?可以在SpringBoot的啟動類中加入如下一行代碼 public static void main(String[] args) {

Angular6 配置專案開發環境測試環境生產環境

搜過很多文章說的都是關於Angular4的配置,後面自己又找了許多資料,最後總結了Angular6 如何配置開發環境,測試環境,生產環境: 1、在environments資料夾裡新建三個檔案: //生產環境 environment.prod.ts: export const enviro

ELK之filebeat收集日誌並自定義索引

需求說明 1、在《ELK收集Apache的json格式訪問日誌並按狀態碼繪製圖表》中,收集了Apache的json格式日誌,在此實驗基礎上,增加nginx的json日誌收集,並自定義filebeat的索引。本次實驗也是基於《ELK收集Apache的json格式訪問日誌並按狀態碼繪製圖表》;2、將nginx和

logstash收集Nginx日誌轉換為JSON格式

Nginx日誌處理為JSON格式,並放置在http區塊: 1 log_format json '{"@timestamp":"$time_iso8601",' 2 '"@version":"1",' 3

rails中使用grape做api生產環境用nginx做代理獲取真實的ip

Grape官方網站上給出如下的程式碼,但我用了nginx代理,接收到的都是127.0.0.1class API < Grape::API helpers do def logger API.logger end end post '/statuses' do logger.info "#{c

通過Spring Bean 注入static變數來設計一套適合測試開發生產環境的配置項

(http://blog.csdn.net/initphp/article/details/8834844) 這邊文章的目的主要是為了在spring開發web專案的時候,讓我們的測試,開發,生產環境的配置項 .properties作為配置檔案。 我們首先需要建

Spring整合Rabbitmq收集Logback日誌利用進行Logstash資料整理儲存到Elasticsearch中

專案中我們常用的是把Logback列印的日誌儲存到檔案中儲存到硬碟上,這樣不利於日誌的收集和分析。 以下演示在SpringBoot中通過rabbitmq收集logback日誌儲存到Elasticsearch中。 環境準備:安裝RabbitMQ,安裝Elasticsearc

Java學習筆記38:通過Spring Bean 注入static變數來設計一套適合測試開發生產環境的配置項

這邊文章的目的主要是為了在spring開發web專案的時候,讓我們的測試,開發,生產環境的配置項 .properties作為配置檔案。 我們首先需要建立一個config資料夾,然後建立開發,測試,生產環境的.properties配置項檔案。 例如,dev.proper

vue 懶載入開發環境不適用生產環境才適用

router.jsimport Vue from 'vue' import Router from 'vue-router' //開發環境不適用懶載入 const _import = require('./_import_' + process.env.NODE_ENV);

iOS 極光推送開發環境可以收到生產環境收不到推送

極光推送開發環境可以收到,生產環境收不到推送 首先闡述一下我遇到的問題 我們專案連通了極光推送,以前寫過的專案也是這樣 在開發環境下測試 好使了 但是打包ADHoc時候 就不好使了,當時也沒在意 因為網上好多人說 只要測試好使了 證書顯示配置成功了(綠燈

Flume-ng生產環境實踐(四)實現log格式化interceptor

續上篇,由於filesink中需要使用/data/log/%{dayStr}/log-%{hourStr}%{minStr}-這樣檔案格式的,為了使file-sink能使用%{dayStr}這樣的標籤,需要在資料傳輸過程中,給event的header中新增對應的鍵值對。在fl