三十二、K8S容器日志收集-EFK

最新推荐文章于 2025-04-25 17:45:39 发布
原创 最新推荐文章于 2025-04-25 17:45:39 发布 · 1.2k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

K8S容器日志收集-EFK

一、概要

在这里插入图片描述

在这里插入图片描述

传统架构ELK

Elasticsearch+ Logstash+Kibanna

新架构EFK技术栈

Elasticsearch+Fleentd+Kibana

Logstash,使用java开发,启动就占用资源,另外语法比较复杂

在这里插入图片描述

在这里插入图片描述

Filebeat也一个直接输入到Elasticsearch,但是需要注意版本,有可能不兼容,所有不推荐。

logstash,只做日志数据的解析,不做采集工作,所以占用资源少。


二、EFK 收集控制台日志

1. 部署Elasticsearch+Fluentd+Kibana

node节点内存要大于4G

下载需要的部署文件:

# git clone https://github.com/dotbalo/k8s.git
# cd k8s/efk-7.10.2/

创建 EFK 所用的命名空间:

[root@k8s-master01 efk-7.10.2]#kubectl create -f create-logging-namespace.yaml
namespace/logging created

创建 Elasticsearch 集群(企业内已有 ELK 平台可以不创建):

[root@k8s-master01 efk-7.10.2]#kubectl create -f es-service.yaml
service/elasticsearch-logging created

[root@k8s-master01 efk-7.10.2]#kubectl create -f es-statefulset.yaml
serviceaccount/elasticsearch-logging created
clusterrole.rbac.authorization.k8s.io/elasticsearch-logging created
clusterrolebinding.rbac.authorization.k8s.io/elasticsearch-logging created
statefulset.apps/elasticsearch-logging created

创建 Kibana(企业内已有 ELK 平台可以不创建):

[root@k8s-master01 efk-7.10.2]#kubectl create -f kibana-deployment.yaml -f kibana-service.yaml
deployment.apps/kibana-logging created
service/kibana-logging created

由于在 Kubernetes 集群中,我们可能并不需要对所有的机器都采集日志,所以可以更改

Fluentd 的部署文件如下,添加一个 NodeSelector,只部署至需要采集的主机即可:

[root@k8s-master01 efk-7.10.2]#grep "nodeSelector" fluentd-es-ds.yaml -A 3
      nodeSelector:
        fluentd: "true"
      volumes:
      - name: varlog
# 不想用,也可以已注销掉。

之后给需要采集日志的节点打上一个标签,以 k8s-node01 为例:

[root@k8s-master01 efk-7.10.2]#kubectl label node k8s-node01 fluentd=true
node/k8s-node01 labeled

[root@k8s-master01 efk-7.10.2]#kubectl get node -l fluentd=true --show-labels
NAME         STATUS   ROLES    AGE    VERSION   LABELS
k8s-node01   Ready    <none>   252d   v1.28.0   beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,fluentd=true,kubernetes.io/arch=amd64,kubernetes.io/hostname=k8s-node01,kubernetes.io/os=linux,node.kubernetes.io/node=,region=chaoyang
[root@k8s-master01 efk-7.10.2]#

创建 Fluentd:

[root@k8s-master01 efk-7.10.2]#kubectl create -f fluentd-es-ds.yaml -f fluentd-es-configmap.yaml
serviceaccount/fluentd-es created
clusterrole.rbac.authorization.k8s.io/fluentd-es created
clusterrolebinding.rbac.authorization.k8s.io/fluentd-es created
daemonset.apps/fluentd-es-v3.1.1 created
configmap/fluentd-es-config-v0.2.1 created

Fluentd 的 ConfigMap 有个字段需要注意,在 fluentd-es-configmap.yaml 最后有一个

output.conf:

[root@k8s-master01 efk-7.10.2]#vim fluentd-es-configmap.yaml
......
  output.conf: |-
    <match **>
      @id elasticsearch
      @type elasticsearch
      @log_level info
      type_name _doc
      include_tag_key true
      host elasticsearch-logging
      port 9200
      logstash_format true

2. Kibana 使用

确认创建的 Pod 都已经成功启动:

[root@k8s-master01 efk-7.10.2]#kubectl get po -n logging
NAME                              READY   STATUS    RESTARTS   AGE
elasticsearch-logging-0           1/1     Running   0          12m
fluentd-es-v3.1.1-4bv7p           1/1     Running   0          2m50s
kibana-logging-5d7b68499c-v7c2t   1/1     Running   0          8m39s

接下来查看 Kibana 暴露的端口号,访问 Kibana:

[root@k8s-master01 efk-7.10.2]#kubectl get svc -n logging
NAME                    TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)             AGE
elasticsearch-logging   ClusterIP   None            <none>        9200/TCP,9300/TCP   13m
kibana-logging          NodePort    10.96.144.216   <none>        5601:32297/TCP      9m1s

使用任意一个部署了 kube-proxy 服务的节点的 IP+32297 端口即可访问 Kibana:

地址:http://10.1.3.31:32297/kibana

点击 Explore on my own,之后再点击 Visualize

在这里插入图片描述
在这里插入图片描述

之后点击 Add your data → Create index pattern:

在这里插入图片描述

在这里插入图片描述

在 Index pattern name 输入索引名 logstash*,然后点击 Next Step:

在这里插入图片描述

再次选择 timestamp,即可创建索引:

在这里插入图片描述

之后点击菜单栏→Discover 即可看到相关日志:

在这里插入图片描述

在这里插入图片描述

核对日志:

[root@k8s-master01 efk-7.10.2]#kubectl get po -n kube-system -owide | grep node01
calico-node-lpwdc                          1/1     Running   2 (146d ago)   251d   10.1.3.34        k8s-node01     <none>           <none>
[root@k8s-master01 efk-7.10.2]#kubectl logs calico-node-lpwdc -n kube-system --tail 5

详细用法需要练习,比如已命名空间查询等。


三、使用 Filebeat 收集自定义文件日志

1. 创建 Kafka 和 Logstash

首先需要部署 Kafka 和 Logstash 至 Kubernetes 集群,如果企业内已经有比较成熟的技术栈,

可以无需部署,直接将 Filebeat 的输出指向外部 Kafka 集群即可:

最低0.47元/天 解锁文章
k34.第十四章 K8s运维篇-K8s容器日志收集
Raymond的博客
06-04 442
1. K8s需要收集哪些日志? 2.收集日志常用的技术栈 3.ES+Fluentd+Kibana 3.1 ES+Fluentd+Kibana架构解析 3.2 使用EFK收集控制台日志 3.2.1 部署Elasticsearch+Fluentd+Kibana 本次实验的环境如下,服务器可用资源2核4G以上: [root@k8s-master01 ~]# kubectl get nodes NAME STATUS ROLES AGE VERSI
持续集成系列(8)------k8s容器日志统一收集efk方案)
ct1150的博客
03-01 1524
文章目录概述elk集群部署filebeat部署验证 概述 k8s集群中的pod产生的日志(stdout/stderr)都存放在对应node的/var/lib/docker/containers/下,目前集中收集k8s日志主要有以下几种方案 使用运行在每个Node上的Node级别的日志记录代理 在应用Pod中包含一个用于日志记录的sidecar 将日志直接从应用内推到后端 综合考虑,本文使用方案一...
K8s部署轻量级日志收集系统EFK(elasticsearch + filebeat + kibana)
ζั͡山 ั͡有扶苏 ั͡✾的博客
10-11 3607
Pod 的选择基于标签。这个pod一次运行了两个容器,分别是kibanah和elasticsearch,并且把elasticsearch容器中的/usr/share/elasticsearch/data目录下的内容,挂载到了es-pv-claim下,我们可以在第三步中的NFS服务器共享目录中找到挂载的数据。点击侧边栏,选择discover,就能看到Filebeat收集到的容器日志,可以按照自己的需求进行日志筛选。的 Pod,这些 Pod 的端口 9200 和 9300 将被公开,并且可以通过相应的。
k8s学习--基于k8s的ELK日志收集的详细过程
lwxvgdv的博客
07-02 3429
ELK 是 Elasticsearch、Logstash 和 Kibana 三个开源工具的组合,常用于数据搜索、日志管理和数据可视化Elasticsearch 是一个分布式搜索和分析引擎,基于 Apache Lucene 构建,主要用于存储、搜索和分析大量数据。Logstash 是一个数据收集引擎,能够从多个来源收集数据,进行过滤和转换,然后将数据发送到存储引擎(如 Elasticsearch)。Kibana 是一个数据可视化和分析平台,专为与 Elasticsearch 一起使用而设计。
k8s部署ELK系列一:集成Filebeat日志收集
最新发布
沉淀自己
04-25 1533
Filebeat 是 Elastic Stack 中的一款轻量级日志采集器,设计用于从各种日志文件中收集和转发数据。它主要用于高效地从应用程序或系统日志文件中提取数据,并将日志发送到 Elastic Stack 的其他组件(如 Kafka 或 Logstash)。与传统的日志采集工具相比,Filebeat 的资源占用非常小,适合运行在资源受限的环境中,如容器和微服务架构。📌 通过本实战,我们成功在 Kubernetes 集群中部署了 Filebeat,实现了日志的高效采集与转发。
K8sEFK日志采集部署
qianshang666的博客
09-11 1537
Kubernetes 集群作为一个整体,我们需要统一收集日志。但是 Kubernetes 并不提供任何日志收集功能,因此您需要设置一个集中的日志后端
K8S部署EFK(fluentd)收集日志
qq_39746321的博客
03-19 2843
部署EFK日志收集系统收集K8S对应pod的日志
通过EFK实现对k8s集群日志的采集
最美dee时光的博客
07-06 818
** 参考:https://www.digitalocean.com/community/tutorials/how-to-set-up-an-elasticsearch-fluentd-and-kibana-efk-logging-stack-on-kubernetes#step-2-%E2%80%94-creating-the-elasticsearch-statefulset ** 1. 概述和组件说明 对于Kubernetes日志收集,目前官方现在比较推荐的日志收集解决方案是 Elasticse
K8s 日志收集-Day 07
qq_42515722的博客
02-16 2388
主要演示了在k8s中两种日志收集的方式
k8s 应用日志收集
weixin_30421809的博客
05-18 489
[ ] 在进行日志收集的过程中,我们首先想到的是使用Logstash,因为它是ELK stack中的重要成员,但是在测试过程中发现,Logstash是基于JDK的,在没有产生日志的情况单纯启动Logstash就大概要消耗500M内存,在每个Pod中都启动一个日志收集组件的情况下,使用logstash有点浪费系统资源,经人推荐我们选择使用Filebeat替代,经测试单独启动Filebeat容器大...
利用EFK实现k8s集群日志收集系统
06-21
Jenkins等工具,并把上述工具集成到Jenkins中,以Django项目为例,通过多分支流水线及Jenkinsfle实现项目代码提交到不同的仓库分支,实现自动代码扫描、单元测试、docker容器构建、k8s服务的自动部署。
K8S日志收集EFK
henanchenxuyuan的博客
09-03 1682
基于云原生 12 要素开发的程序,一般会将日志直接输出到控制台,并非是指定一个文件存储日志,这一点和传统架构还是有区别的。但是公司内的程序并非都是基于云原生要素开发的,比如一些年代已久的程序,这类程序如果部署至 Kubernetes 集群中,就需要考虑如何将输出至本地文件的日志采集到Elasticsearch。
k8s-EFK (filebeat)日志收集
planck
08-20 3281
使用elasticsearch+filebeat+kibana收集pod指定目录日志,filebeat用于收集日志,es用于存储,kibana用于展示。本例以收集部署于k8s内的nginx日志为例子。
使用EFK收集k8s日志
batman
11-23 819
首先我们使用EFK收集Kubernetes集群中的日志,本次实验讲解的是在Kubernetes集群中启动一个Elasticsearch集群,如果企业内已经有了Elasticsearch集群,可以直接将日志输出至已有的Elasticsearch集群。
EFK 收集 K8S 容器日志
weixin_43423965的博客
07-18 3863
文章目录EFK 收集 K8S 容器日志一、ELK简介:二、监控方案三、监控原理四、安装方式五、安装es5.1 搜索helm stable仓库中的elasticsearch 版本5.2 获取 1.28.5 elasticsearch5.3 修改values.yaml文件5.4 elasticsearch 集群角色5.5 elasticsearch 集群安装5.6 观察 release 的状态,pod...
EFK简单部署收集K8S日志
weixin_42562106的博客
04-26 703
【代码】EFK收集K8S日志
k8s 部署智能化日志收集平台 EFK
热门推荐
高飞的博客
11-13 25万+
k8s 平台部署智能化日志收集平台采集 Pod 业务日志
k8s日志收集
梵修
11-04 5716
分布式日志数据统一收集,实现集中式查询和管理故障排查安全信息和事件管理报表统计及展示功能日志查询、问题排查、故障恢复和故障自愈应用日志分析,错误报警性能分析,用户行为分析在节点上进行收集,基于daemonset部署日志收集容器,实现json-file类型(标准输出/dev/stdout,错误输出/dev/stderr)日志收集使用sidecar容器收集当前Pod内一个或多个业务容器日志,通常基于emptyDir实现业务容器与sidecar容器之间的日志共享。
EFK 日志系统收集K8s日志 (一)
srebro.cn | 运维小弟
03-05 1372
一、日志收集的需求背景: ​ • 业务发展越来越庞大,服务器越来越多 ​ • 各种访问日志、应用日志、错误日志量越来越多 ​ • 开发人员排查问题,需要到服务器上查日志,效率低、权限不好控制 ​ • 运维需实时关注业务访问情况 二、容器特性给日志采集带来的难度: ​ • K8s弹性伸缩性:导致不能预先确定采集的目标 ​ • 容器隔离性:容器的文件系统与宿主机是隔离,导致日志采集器读取日志文件受阻 三、应用程序日志记录分为两类: ​ • 标准输出:输出到控制台,使用kubectl
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cyan_Jiang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值