网站开发软件排行榜,wordpress设定域名,用wordpress建站多少钱,wordpress怎么找模板一、前言 使用filebeat自动发现收集k8s的pod日志#xff0c;这里分别收集前端的nginx日志#xff0c;还有后端的服务java日志#xff0c;所有格式都是用json格式#xff0c;建议还是需要让开发人员去输出java的日志为json#xff0c;logstash分割java日志为json格式#…一、前言 使用filebeat自动发现收集k8s的pod日志这里分别收集前端的nginx日志还有后端的服务java日志所有格式都是用json格式建议还是需要让开发人员去输出java的日志为jsonlogstash分割java日志为json格式在日志量大的情况下非常消耗资源
二、收集日志配置 主要是配置filebeat和logstash进行日志的收集和分割我这里的后端服务java日志不是json格式所以需要自己去分割为json日志有条件的也可以让开发直接输出json格式的日志前端的只要收集nginx的access日志即可nginx的可以直接配置为json格式输出 filebeat配置 vi filebeat-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:name: filebeat-confignamespace: elkdata:filebeat.yml: |filebeat.autodiscover: #使用filebeat自动发现模块providers:- type: kubernetes #配置为k8s类型 templates:- condition: #通过标签、命名空间筛选需要的pod日志这里是匹配后端服务的日志and:- or:- equals:kubernetes.labels:app: foundation- equals:kubernetes.labels:app: api-gateway- equals:kubernetes.labels:app: field- equals:kubernetes.labels:app: report- equals:kubernetes.namespace: java-serviceconfig: #配置收集的pod日志路径这里配置日志路径时要使用变量的方式定义日志路径至于为什么使用这些变量可以自行去看一下该日志目录下的路径名称- type: container #配置为container模式symlinks: true #使用了软链接的话需要加上该配置paths:- /var/log/containers/${data.kubernetes.pod.name}_${data.kubernetes.namespace}_${data.kubernetes.container.name}-*.logmultiline.pattern: ^\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2} #使用multiline匹配以时间开头的行multiline.negate: true #反转匹配的内容即匹配不是以时间开头的行multiline.match: after #将匹配到不是以时间开头的行就合并到上一个事件中- condition: #通过标签、命名空间筛选需要的pod日志这里是匹配前端服务的日志这里是因为前端的日志格式和后端的日志格式不一样所以分开收集and:- or:- equals:kubernetes.labels:app: nodejs- equals:kubernetes.namespace: nodejsconfig:- type: containersymlinks: truepaths:- /var/log/containers/${data.kubernetes.pod.name}_${data.kubernetes.namespace}_${data.kubernetes.container.name}-*.logprocessors: #配置filebeat识别收集的日志格式为json这里前端的日志已经配置为了json格式所以在filebeat收集的时候需要将日志识别为json格式的日志不配置的话收集出来的是一整串日志和普通日志一样- decode_json_fields:fields: [message]target: overwrite_keys: trueadd_error_key: trueoutput.logstash: #将收集的日志输出到logstashhosts: [logstash.elk:5044] logstash配置
vi logstash-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:name: logstash-configmapnamespace: elklabels:app: logstash
data:logstash.conf: |input {beats {port 5044# codec json}}filter {grok { #这里使用grok将java日志分割为json格式match { message %{TIMESTAMP_ISO8601:timestamp}\s%{LOGLEVEL:level}\s%{NUMBER:thread}\s---\s\[%{DATA:thread_name}\]\s%{JAVACLASS:java_class}\s:\s%{GREEDYDATA:log_message}}}}output {# stdout{ #该项为测试模式将收集的日志内容输出到logstash的日志中# codec rubydebug# }elasticsearch {hosts elasticsearch:9200 #这里的索引名称使用日志中包含的变量自动命名index %{[kubernetes][container][name]}-%{YYYY.MM.dd}}}
这里对java日志进行一下说明java日志都是特定的日期格式开头基本上都是单行的除了报错日志报错日志会换行因为报错栈非常多filebeat收集日志是一行一行收集的在收集java报错日志的时候就会出现问题错误日志的报错栈也被分开很多行去收集了这是有问题的所以会在filebeat收集java日志的时候加入multiline进行事务的一个合并下面来看一下java的日志
正常日志
可以看到都是以特定的时间格式开头 错误日志
其实错误日志的结构和正常日志是一样的只是后面的报错栈被分行了所以在filebeat使用multiline将这些不是以时间开头的行合并到上一个事件中即可 可以使用kibana试验一下对java日志的分割是否能生效
%{TIMESTAMP_ISO8601:timestamp}\s%{LOGLEVEL:level}\s%{NUMBER:thread}\s---\s\[%{DATA:thread_name}\]\s%{JAVACLASS:java_class}\s:\s%{GREEDYDATA:log_message} 前端日志对于nginx的配置也做一下说明需要在nginx配置文件中提前定义nginx的日志格式
vi nginx-public.yaml
apiVersion: v1
kind: ConfigMap
metadata:name: public-confignamespace: nodejs
data:nginx.conf: |user nginx;worker_processes auto;error_log /var/log/nginx/error.log notice;pid /var/run/nginx.pid;events {worker_connections 1024;}http {include /etc/nginx/mime.types;default_type application/octet-stream;log_format main $remote_addr - $remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for;log_format access {timestamp:$time_iso8601, #定义json格式的日志remote_addr:$remote_addr,remote_user:$remote_user,body_bytes_sent:$body_bytes_sent,request_time:$request_time,status: $status,host:$host,request:$request,request_method:$request_method,uri:$uri,http_referer:$http_referer,http_x_forwarded_for:$http_x_forwarded_for,http_user_agent:$http_user_agent}; access_log /var/log/nginx/access.log access; #使用json格式的日志作为日志的输出sendfile on;#tcp_nopush on;keepalive_timeout 65;#gzip on;include /etc/nginx/conf.d/*.conf;} 对于filebeat自动发现收集k8s日志的配置也可以参考elk官网里面还有非常多的一些k8s参数可以定义 使用
参考Autodiscover | Filebeat Reference [8.12] | Elastic
