51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Filebeat on k8s 日志采集实战操作

作者:liugp
大数据 数据分析
Filebeat​ 提供了丰富的配置选项,可以根据您的需求对日志数据进行高度定制和筛选。它还支持自动发现新容器、节点和服务,并动态调整采集策略。这使得它成为 Kubernetes 环境中日志采集的有力工具。

一、概述

Filebeat 是一个轻量级的开源日志文件和数据收集器,由 Elastic 公司开发,用于采集、解析和发送日志数据。在 Kubernetes 中,Filebeat通常用于采集容器日志,并将其发送到中央日志存储、分析或搜索工具,如 Elasticsearch、Logstash 或 Fluentd。

以下是 Filebeat 在 Kubernetes 中日志采集的工作原理:

  1. Filebeat 容器部署:首先,在 Kubernetes 集群中创建一个或多个 Filebeat 容器的 Pod。这些 Pod 可以位于同一节点上,也可以分布在多个节点上,具体取决于您的部署方式和需求。
  2. Filebeat 配置文件:每个 Filebeat 容器需要一个配置文件,该文件定义了 Filebeat 要监视的日志源、采集策略、日志过滤规则和目标输出等。配置文件通常以 YAML 格式定义。
  3. Kubernetes ConfigMap:Filebeat 配置文件通常存储在 Kubernetes ConfigMap 中。ConfigMap 是 Kubernetes 中的资源,用于存储配置数据,以便它可以被多个容器访问。Filebeat 容器将挂载包含配置文件的 ConfigMap,并将其用作配置源。
  4. Filebeat 启动:Filebeat 容器启动后,它会读取配置文件并按照配置定义的规则开始采集日志。这包括监视容器的日志文件、容器日志目录或其他数据源。
  5. 日志采集和解析:Filebeat 会定期扫描配置的日志源,并将新的日志行采集到内部队列中。它还可以对采集的日志进行解析,以提取有用的信息,如时间戳、日志级别、标签等。Filebeat 可以根据您的配置对日志数据进行结构化处理。
  6. 输出到目标:Filebeat 会将采集的日志数据发送到指定的输出目标,通常是中央日志存储、分析或搜索工具。常见的输出目标包括 Elasticsearch、Logstash、Kafka 或各种云日志服务。
  7. 数据传输和处理:输出目标将接收到的日志数据进行存储、处理、分析或可视化。这通常涉及到对数据的索引、搜索、过滤和可视化,以便用户可以查询和分析日志数据。

Filebeat 提供了丰富的配置选项,可以根据您的需求对日志数据进行高度定制和筛选。它还支持自动发现新容器、节点和服务,并动态调整采集策略。这使得它成为 Kubernetes 环境中日志采集的有力工具。

总的来说,Filebeat 的工作原理是不断监视和采集容器生成的日志,然后将这些日志数据发送到中央处理工具,以便分析和可视化。这有助于集中管理和分析容器日志,以便更好地了解应用程序的状态和性能。

图片Filebeat 官方文档:https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-overview.html

以前也写过关于 filebeat 更详细的介绍和实战操作的文章,只不过 filebeat 不是部署在 k8s 上,感兴趣的小伙伴可以先查阅我之前的文章:

  • 轻量级的日志采集组件 Filebeat 讲解与实战操作
  • Filebeat 采集 k8s Pod 和 Events 日志实战操作

二、K8s 集群部署

k8s 环境安装之前写过很多文档,可以参考我以下几篇文章:

  • 【云原生】k8s 离线部署讲解和实战操作
  • 【云原生】k8s 环境快速部署(一小时以内部署完)

三、ElasticSearch 和 kibana 环境部署

这里可以选择以下部署方式:

  • 通过docker-compose部署:通过 docker-compose 快速部署 Elasticsearch 和 Kibana 保姆级教程
  • on k8s 部署:ElasticSearch+Kibana on K8s 讲解与实战操作(版本7.17.3)

这里我选择 docker-compose 部署方式。

1)部署 docker

# 安装yum-config-manager配置工具
yum -y install yum-utils

# 建议使用阿里云yum源:(推荐)
#yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

# 安装docker-ce版本
yum install -y docker-ce
# 启动并开机启动
systemctl enable --now docker
docker --version

2)部署 docker-compose

curl -SL https://github.com/docker/compose/releases/download/v2.16.0/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose
docker-compose --version

3)创建网络

# 创建
docker network create bigdata

# 查看
docker network ls

4)修改 Linux 句柄数和最大线程数

#查看当前最大句柄数
sysctl -a | grep vm.max_map_count
#修改句柄数
vi /etc/sysctl.conf
vm.max_map_count=262144

#临时生效,修改后需要重启才能生效,不想重启可以设置临时生效
sysctl -w vm.max_map_count=262144

#修改后需要重新登录生效
vi /etc/security/limits.conf

# 添加以下内容
* soft nofile 65535
* hard nofile 65535
* soft nproc 4096
* hard nproc 4096

# 重启服务,-h 立刻重启,默认间隔一段时间才会开始重启
reboot -h now

5)下载部署包开始部署

# 这里选择 docker-compose 部署方式
git clone https://gitee.com/hadoop-bigdata/docker-compose-es-kibana.git

cd docker-compose-es-kibana

chmod -R 777 es kibana

docker-compose -f docker-compose.yaml up -d

docker-compose ps

四、Filebeat on k8s 部署(daemonset)

部署包下载地址:https://artifacthub.io/packages/helm/elastic/filebeat

1)安装 helm

# 下载包
wget https://get.helm.sh/helm-v3.9.4-linux-amd64.tar.gz
# 解压压缩包
tar -xf helm-v3.9.4-linux-amd64.tar.gz
# 制作软连接
cp ./linux-amd64/helm /usr/local/bin/helm
# 验证
helm version
helm help

2)下载部署包进行安装

1、下载安装包

helm repo add elastic https://helm.elastic.co

helm pull elastic/filebeat --version 7.17.3

tar -xf filebeat-7.17.3.tgz

2、修改配置

# 修改配置 filebeat/values.yaml,主要把 ELasticsearch 地址更换
vi filebeat/values.yaml

# 主要修改filebeat配置
  filebeatConfig:
    filebeat.yml: |
      filebeat.inputs:
      - type: container
        paths:
          - /var/log/containers/*.log
        fields:
          index: k8s-pod-log
        processors:
        - add_kubernetes_metadata:
            host: ${NODE_NAME}
            matchers:
            - logs_path:
                logs_path: "/var/log/containers/"

      output.elasticsearch:
        host: '${NODE_NAME}'
        hosts: '192.168.182.110:9200'
        index: "filebeat-%{[fields][index]}-%{+yyyy.MM.dd}"

      setup.template.name: "default@template"
      setup.template.pattern: "filebeat-k8s-*"
      setup.ilm.enabled: false

3、开始安装 filebeat

helm install filebeat ./filebeat -n logging --create-namespace

kubectl get pods -n logging

3)检查数据是否正常采集到 ES

访问 kibana:http://ip:5601/

1、Stack Management

图片图片

2、索引模式

图片图片

3、开始创建索引模式

图片图片

4、Discover 查询数据

图片图片

其实采集原理是非常简单的,就是通过挂载宿主机的容器日志目录 /var/lib/docker/containers 到容器的 /var/lib/docker/containers。

图片图片

但是通过这种挂载宿主机容器目录有个弊端,就是只能采集 pod 标准输出的日志,其它日志是收集不到的,下篇文章将介绍另外两种方式采集来解决这个问题。

责任编辑:武晓燕 来源: 大数据与云原生技术分享
主机容器选项
相关推荐
实战:基于Loki采集K8s日志
Loki是一个水平可扩展、高可用性、轻量易用、多租户的日志聚合系统,它的设计非常经济高效且易于操作,因为它不会为日志内容编制索引,而是为每一个日志流编制一组标签,项目是受Prometheus启发,专门为Prometheus和k8s用户做了相关优化。

2024-02-01 09:48:17

Flink on k8s 讲解与实战操作
Flink核心是一个流式的数据流执行引擎,并且能够基于同一个Flink运行时,提供支持流处理和批处理两种类型应用。

2022-10-10 12:54:00

Flink运维
轻量级的日志采集组件 Filebeat 讲解与实战操作
Filebeat是一个轻量级的代理,对系统资源的消耗非常低。它设计用于高性能和低延迟,可以在各种环境中运行,包括服务器、容器和虚拟机。

2023-09-27 00:12:23

K8s 离线部署讲解和实战操作
Kubernetes是一种高度可扩展的容器编排平台,可用于部署、管理和自动化容器化应用程序的运行。在某些情况下,离线部署Kubernetes可能是必需的,例如在没有互联网连接的安全环境中或在网络连接不可靠的情况下。

2023-02-27 07:40:00

【云原生】Minio on k8s 讲解与实战操作
MinIO是在GNUAffero通用公共许可证v3.0下发布的高性能对象存储。它与AmazonS3云存储服务API兼容。使用MinIO为机器学习、分析和应用程序数据工作负载构建高性能基础架构。

2023-03-06 07:19:50

K8S 入门到实战--部署应用到 K8S
因为k8s部分功能其实是偏运维的,对研发来说优先级并不太高;所以我不太会涉及一些k8s运维的知识点,比如安装、组件等模块;主要以我们日常开发会使用到的组件讲起。

2023-09-06 08:12:04

k8s云原生
【云原生】Apache Livy on k8s 讲解与实战操作
Livy是一个提供Rest接口和spark集群交互的服务。它可以提交SparkJob或者Spark一段代码,同步或者异步的返回结果;也提供Sparkcontext的管理,通过Restful接口或RPC客户端库。

2023-03-03 07:54:21

「云原生」Apache Livy on k8s 讲解与实战操作
Livy是一个提供Rest接口和spark集群交互的服务。它可以提交SparkJob或者Spark一段代码,同步或者异步的返回结果;也提供Sparkcontext的管理,通过Restful接口或RPC客户端库。

2022-11-08 08:55:31

云原生之 Sqoop on k8s 讲解与实战操作
Sqoop底层用MapReduce程序实现抽取、转换、加载,MapReduce天生的特性保证了并行化和高容错率,而且相比Kettle等传统ETL工具,任务跑在Hadoop集群上,减少了ETL服务器资源的使用情况。在特定场景下,抽取过程会有很大的性能提升。

2023-03-07 07:56:37

Sqoopk8s底层
「云原生」Elasticsearch + Kibana on k8s 讲解与实战操作
Elasticsearch是一个基于Lucene的搜索引擎。它提供了具有HTTPWeb界面和无架构JSON文档的分布式,多租户能力的全文搜索引擎。

2022-10-14 07:42:50

LuceneHTTPWeb
Prometheus on k8s 部署与实战操作进阶篇
Prometheus和PrometheusOperator的配置和使用在实际环境中可能会因版本和具体的Kubernetes发行版而有所不同。为了获得更详细和准确的指导,请查阅官方文档和适用于您特定环境的教程。

2023-08-29 10:27:32

一篇了解 K8s 日志采集与服务质量 QoS
集群规模,SideCar没有限制,DaemonSet模式实际支持的应用数与场景有关系,大体范围在几百到千级别。

2022-07-26 00:00:05

QoSK8s日志
「云原生」Redis on K8s 编排部署讲解与实战操作
Redis有三种集群模式:主从模式,Sentinel(哨兵)模式,Cluster模式,这三种模式环境编排部署都会在本文章介绍与实战操作。

2022-11-06 21:31:11

云原生Sentinel集群模式
【云原生】HBase on K8s 编排部署讲解与实战操作
HBase良好的分布式架构设计为海量数据的快速存储、随机访问提供了可能,基于数据副本机制和分区机制可以轻松实现在线扩容、缩容和数据容灾,是大数据领域中KeyValue数据结构存储最常用的数据库方案。

2023-03-01 07:42:12

HBase编排部署数据
ElasticSearch+Kibana on K8s 讲解与实战操作(版本7.17.3)
Elasticsearch7引入了集群维护模式(clustermaintenancemode),允许您更方便地执行维护操作而不影响数据平衡。您可以将集群设置为维护模式,然后执行维护操作,最后再将集群恢复到正常状态。

2023-09-11 00:09:18

K8s简介之什么是K8s
本文将带大家学习K8s的基本概念。

2022-04-22 13:32:01

K8s容器引擎架构
K8S入门到实战--跨服务调用
总的来说k8sservice提供了简易的服务注册发现和负载均衡功能,当我们只提供http服务时是完全够用的。

2023-09-08 08:09:12

k8sservice服务
Wasm的野心:取代K8s,不如结合K8s
开源RunWasi项目的进展可能会成为WasmonKubernetes部署的催化剂。RunWasi的创建是为了通过containerd在Wasm模块中支持Wasm运行时。

2023-11-06 07:16:22

WasmK8s模块
K8s pod删除操作,你会了吗?
k8s运维过程中,pod异常情况下,需要我们去删除pod来恢复业务,本文总结了pod几种常见的删除方法。

2022-11-02 10:21:41

K8s pod运维
Filebeat、Logstash、Rsyslog 各种姿势采集Nginx日志
本文通过几个实例来介绍如何通过filebeat、logstash、rsyslog采集nginx的访问日志和错误日志。

2021-04-27 09:45:33

Nginx日志运维
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服