【EFK】k8s部署ElasticSearch+Fluentd+Kibana进行日志收集

最新推荐文章于 2025-11-27 11:05:30 发布
原创 最新推荐文章于 2025-11-27 11:05:30 发布 · 1.2k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #云原生 #elasticsearch

 一、为什么使用EFK

       
        EFK Stack为开发者提供了一套完整而灵活的日志管理系统。通过结合Elasticsearch的存储和搜索功能、Fluentd的采集和处理功能以及Kibana的展示和分析功能,开发者可以实现日志的收集、存储、搜索、分析和可视化。相比其他日志管理方案,EFK Stack在高性能和低资源消耗方面表现出色。特别是Fluentd和Filebeat等轻量级的日志收集工具,使得EFK Stack在资源有限或需要快速部署的场景中更具优势。  
 

  • ElasticSearch:Elasticsearch是一个基于Lucene的分布式搜索和分析引擎,能够快速存储、搜索和分析大量数据。它适用于构建实时分析应用程序,并提供全文搜索、结构化搜索、分析以及分布式、多租户能力的功能。
  • Fluentd:Fluentd是一个开源的数据收集器,能够从各种来源(如应用程序、服务器、消息队列等)实时地采集日志数据。它支持多种数据输入和输出的插件,可以轻松地集成到各种环境中。Fluentd在容器化环境中表现出色,特别是与Kubernetes等容器编排系统结合使用时。它能够自动发现和管理容器日志,确保日志数据的完整性和准确性。
  • Kibana:Kibana是一个基于Elasticsearch的可视化分析平台,提供了丰富的图表和可视化功能。用户可以通过Kibana对日志数据进行搜索、分析和可视化,以便更好地理解应用程序的运行状态和日志信息。

 二、版本信息
 

Kubernetes版本:1.28.14
ElasticSearch版本:7.2.0
Fluentd版本:1.16
Kibana版本:7.2.0

 三、部署ES
 

       编写yaml创建ES的Service,使用有状态应用StatefulSet创建ES集群,使用NFS做PV,存储ES数据到PV中

#创建ES的Service
kind: Service
apiVersion: v1
metadata:
  name: elasticsearch
  namespace: k8s-logging
  labels:
    app: elasticsearch
spec:
  selector:
    app: elasticsearch
  clusterIP: None
  ports:
    - port: 9200
      name: rest
    - port: 9300
      name: inter-node
---
#使用statefulset部署ES
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: es-cluster
  namespace: k8s-logging
spec:
  serviceName: elasticsearch
  replicas: 2
  selector:
    matchLabels:
      app: elasticsearch
  template:
    metadata:
      labels:
        app: elasticsearch
    spec:
      tolerations:
      - key: "node-role.kubernetes.io/control-plane"
        operator: "Exists"
        effect: "NoSchedule"
      containers:
      - name: elasticsearch
        image: 192.168.119.150/k8s_repository/elasticsearch:7.2.0
        imagePullPolicy: IfNotPresent
        resources:
            limits:
              cpu: 1000m
            requests:
              cpu: 100m
        ports:
        - containerPort: 9200
          name: rest
          protocol: TCP
        - containerPort: 9300
          name: inter-node
          protocol: TCP
        volumeMounts:
        - name: esdata
          mountPath: /usr/share/elasticsearch/data
        env:
          - name: cluster.name
            value: k8s-logs
          - name: node.name
            valueFrom:
              fieldRef:
                fieldPath: metadata.name
          - name: discovery.seed_hosts
            value: "es-cluster-0.elasticsearch.k8s-logging.svc.cluster.local,es-cluster-1.elasticsearch.k8s-logging.svc.cluster.local"
          - name: cluster.initial_master_nodes
            value: "es-cluster-0,es-cluster-1"
          - name: ES_JAVA_OPTS
            value: "-Xms512m -Xmx512m"
          - name: TZ
            value: "Asia/Shanghai"
      initContainers:
      - name: fix-permissions
        image: 192.168.119.150/myrepo/busybox:stable-glibc
        imagePullPolicy: IfNotPresent
        command: ["sh", "-c", "chown -R 1000:1000 /usr/share/elasticsearch/data"]
        securityContext:
          privileged: true
        volumeMounts:
        - name: esdata
          mountPath: /usr/share/elasticsearch/data
      - name: increase-vm-max-map
        image: 192.168.119.150/myrepo/busybox:stable-glibc
        imagePullPolicy: IfNotPresent
        command: ["sysctl", "-w", "vm.max_map_count=262144"]
        securityContext:
          privileged: true
      - name: increase-fd-ulimit
        image: 192.168.119.150/myrepo/busybox:stable-glibc
        imagePullPolicy: IfNotPresent
        command: ["sh", "-c", "ulimit -n 65536"]
        securityContext:
          privileged: true
  volumeClaimTemplates:
  - metadata:
      name: esdata
    spec:
      accessModes: [ "ReadWriteOnce" ]
      resources:
        requests:
          storage: 1Gi

 

 三、部署kibana
 

     kibana是无状态应用,不需要存储数据,所以使用deployment部署kibana。同时创建kibana的Service和Ingress暴露服务

#部署kibana的service
apiVersion: v1
kind: Service
metadata:
  name: kibana
  namespace: k8s-logging
  labels:
    app: kibana
spec:
  type: NodePort
  ports:
  - port: 5601
  selector:
    app: kibana
---
#部署kibana的ingress
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: kibana-ingress
  namespace: k8s-logging
spec:
  ingressClassName: nginx
  rules:
  - host: www.mykibana.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: kibana
            port:
              number: 5601
---
#部署kibana的deployment
apiVersion: apps/v1
kind: Deployment
metadata:
  name: kibana
  namespace: k8s-logging
  labels:
    app: kibana
spec:
  replicas: 1
  selector:
    matchLabels:
      app: kibana
  template:
    metadata:
      labels:
        app: kibana
    spec:
      nodeSelector:
        node: master
      tolerations:
      - key: "node-role.kubernetes.io/control-plane"
        operator: "Exists"
        effect: "NoSchedule"
      containers:
      - name: kibana
        image: 192.168.119.150/k8s_repository/kibana:7.2.0
        imagePullPolicy: IfNotPresent
        resources:
          limits:
            cpu: 1000m
          requests:
            cpu: 100m
        env:
          - name: ELASTICSEARCH_URL
            value: http://elasticsearch.k8s-logging.svc.cluster.local:9200
        ports:
        - containerPort: 5601
        volumeMounts:
        - name: tzdata
          mountPath: /etc/localtime
      volumes:
      - name: tzdata
        hostPath:
          path: /usr/share/zoneinfo/Asia/Shanghai

 

 四、部署fluentd
 

 首先创建fluentd的主配置文件

#编写fluentd的主配置文件的ConfigMap
apiVersion: v1
kind: ConfigMap
metadata:
  labels:
    addonmanager.kubernetes.io/mode: Reconcile
  name: fluentd-es-config-main
  namespace: k8s-logging
data:
  fluent.conf: |-
    <match fluent.**>
    @type null
    </match>

    @include /fluentd/etc/config.d/*.conf

创建fluentd的子配置文件。在子配置文件中设置时间戳格式,并在子配置文件中定义使用kubernetes插件,根据日志中的pod信息查对应k8s信息,并在日志中增加k8s信息,并配置logstash格式输出

#编写fluentd的子配置文件的ConfigMap
apiVersion: v1
kind: ConfigMap
metadata:
  name: fluentd-config
  namespace: k8s-logging
  labels:
    addonmanager.kubernetes.io/mode: Reconcile
data:
  containers.input.conf: |-
    <source>
      @id fluentd-containers.log
      @type tail
      path /var/log/containers/*.log
      pos_file /var/log/es-containers.log.pos
      time_format %Y-%m-%dT%H:%M:%S.%L%z #设置时间戳格式
      tag raw.kubernetes.*
      format json
      read_from_head false
    </source>
    <match raw.kubernetes.**>
      @id raw.kubernetes
      @type detect_exceptions
      remove_tag_prefix raw
      message log
      stream stream
      multiline_flush_interval 5
      max_bytes 500000
      max_lines 1000
    </match>
  output.conf: |-
    <filter kubernetes.**>
      @type kubernetes_metadata#使用kubernetes插件,在日志中增加k8s信息
    </filter>
    <match **>
      @id elasticsearch
      @type elasticsearch
      @log_level info
      include_tag_key true
      hosts es-cluster-0.elasticsearch:9200,es-cluster-1.elasticsearch:9200
      logstash_format true
      request_timeout    30s
      <buffer>
        @type file
        path /var/log/fluentd-buffers/kubernetes.system.buffer
        flush_mode interval
        retry_type exponential_backoff
        flush_thread_count 2
        flush_interval 5s
        retry_forever
        retry_max_interval 30
        chunk_limit_size 2M
        queue_limit_length 8
        overflow_action block
      </buffer>
    </match>

fluentd会通过不断监听/var/log/container中的容器日志,传输日志到ES数据库中保存。我们使用DaemonSet部署fluentd,保证每个node都有fluentd收集日志。并创建RBAC,给fluentd pod查k8s数据的权限

apiVersion: v1
kind: ServiceAccount
metadata:
  name: fluentd-es
  namespace: k8s-logging
  labels:
    k8s-app: fluentd-es
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: fluentd-es
  labels:
    k8s-app: fluentd-es
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
rules:
- apiGroups:
  - ""
  resources:
  - "namespaces"
  - "pods"
  verbs:
  - "get"
  - "watch"
  - "list"
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: fluentd-es
  labels:
    k8s-app: fluentd-es
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
subjects:
- kind: ServiceAccount
  name: fluentd-es
  namespace: k8s-logging
  apiGroup: ""
roleRef:
  kind: ClusterRole
  name: fluentd-es
  apiGroup: ""
---
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: fluentd-es
  namespace: k8s-logging
  labels:
    addonmanager.kubernetes.io/mode: Reconcile
    k8s-app: fluentd-es
spec:
  selector:
    matchLabels:
      k8s-app: fluentd-es
  template:
    metadata:
      labels:
        k8s-app: fluentd-es
    spec:
      securityContext: {}
      serviceAccount: fluentd-es
      serviceAccountName: fluentd-es
      tolerations:
      - key: "node-role.kubernetes.io/control-plane"
        operator: "Exists"
        effect: "NoSchedule"      
      containers:
      - name: fluentd
        image: 192.168.119.150/k8s_repository/fluentd-kubernetes-daemonset:v1.16
        imagePullPolicy: IfNotPresent
        env:
          - name:  FLUENT_ELASTICSEARCH_HOST
            value: "elasticsearch.k8s-logging.svc.cluster.local"
          - name:  FLUENT_ELASTICSEARCH_PORT
            value: "9200"
          - name: FLUENT_ELASTICSEARCH_SCHEME
            value: "http"
          - name: FLUENTD_SYSTEMD_CONF
            value: "disable"
          - name: TZ
            value: "Asia/Shanghai"
          - name: FLUENT_CONTAINER_TAIL_PARSER_TYPE
            value: "cri"
          - name: FLUENT_CONTAINER_TAIL_PARSER_TIME_FORMAT
            value: "%Y-%m-%dT%H:%M:%S.%L%z"
        resources:
          limits:
            memory: 512Mi
          requests:
            cpu: 100m
            memory: 200Mi
        volumeMounts:
        - name: varlog
          mountPath: /var/log
        - name: varlibdockercontainers
          mountPath: /var/lib/docker/containers
          readOnly: true
        - name: config-volume
          mountPath: /fluentd/etc/config.d
        - name: config-volume-main
          mountPath: /fluentd/etc/fluent.conf
          subPath: fluent.conf
      terminationGracePeriodSeconds: 30
      volumes:
      - name: varlog
        hostPath:
          path: /var/log
      - name: varlibdockercontainers
        hostPath:
          path: /var/lib/docker/containers
      - configMap:
          defaultMode: 420
          name: fluentd-config
        name: config-volume
      - configMap:
          defaultMode: 420
          items:
          - key: fluent.conf
            path: fluent.conf
          name: fluentd-es-config-main
        name: config-volume-main

 五、kibana展示数据

 
访问刚刚定义的ingress,访问kibana的web界面。

在web界面中我们可以点击侧边栏的Dev Tools,测试fluentd传输日志是否生效

 点击GET /_cat/indices?v   如果出现logstash的索引,则说明fluentd配置生效

想要用kibana展示数据,还需要配置索引,点击Management / Index Patterns,创建Index pattern

 

在界面中输入logstash-*,点击Next step 

 配置时间过滤器,选择@timestamp选项,点击Create index pattern

来到Discover界面,可以看到日志数据已经被展示出来了

Marcos921
关注
基于Elasticsearch + Fluentd + KibanaEFK)搭建日志收集管理系统
dvlinker的技术专栏
07-01 1万+
详细讲述基于ElasticsearchFluentdKibana日志管理系统搭建过程。
Elasticsearch+Fluentd+Kibana整合全流程
qq_40448623的博客
09-22 1676
Elasticsearch+Fluentd+Kibana整合全流程 一、Docker安装Elasticsearch 1.1 创建一个网络名为logging且driver为bridge的网络 docker network create logging 1.2 创建单节点的Elasticsearch docker run -d --name elasticsearch --net logging -p 9200:9200 -p 9300:9300 -e TZ=Asia/Shanghai -e "discov
Fluentd 安装部署
最新发布
onlymscn的博客
11-27 957
Fluentd是一个开源的日志收集与转发工具,支持多种输入输出插件。本文介绍了Fluentd的两种安装方式(RubyGem和td-agent)、基本配置方法以及常见问题解决方案。文章还包含性能优化建议、插件扩展指南、与Docker/Kubernetes集成方案,以及生产环境的最佳实践,如安全加固、高可用部署和自动化运维等。最后提供了实用工具资源和生产环境配置建议,帮助用户高效使用Fluentd进行日志管理。
使用Fluentd作为Docker日志收集
weixin_44268936的博客
10-08 2436
本文研究了如何使用Fluentd作为Docker日志驱动进行日志收集。通过介绍Fluentd的优势,包括多样数据源支持、灵活插件系统和JSON统一日志记录,文章强调了选择Fluentd的合理性。具体步骤包括docker-compose配置和Fluentd的设置,最后突显了Fluentd的可拓展性,可以将日志输出到不同目的地,为Docker日志管理提供了可靠而灵活的解决方案。
基于Elasticsearch+Fluentd+Kibana日志收集分析系统搭建与应用
热门推荐
swq的专栏
01-07 3万+
基于Elasticsearch+Fluentd+Kibana日志系统搭建与应用随着互联网技术的发展,原来的单机发展到多机再到大规模集群,nginx,tomcat,openStack,docker容器等等,一个系统由大量的服务构成,其中每个应用与服务的日志分析管理也变得越来越重要。本文将介绍如何使用fd+es+ka搭建日志收集系统。关于具体介绍请参考官网: Fluentd: http://www.
基于Elasticsearch+Fluentd+Kibana日志收集分析系统
weixin_33693070的博客
07-14 314
我们平时分析log直接在日志文件中 grep、awk 就可以获得自己想要的信息,此方法效率低下,生产中需要集中化的日志管理,所有服务器上的日志收集汇总 Elasticsearch一个节点(node)就是一个Elasticsearch实例,一个集群(cluster)由一个或多个节点组成,它们具有相同的cluster.name,它们协同工作,分享数据和负载。当加入新的节点或者删除一个节点时,集群就会感...
Elasticsearch+Fluentd+Kibana 日志收集系统的搭建
qq_31366767的博客
10-24 738
*值得注意的是,fluent-plugin-elasticsearch 插件的版本应该和 elasticsearch 对应,我这边使用的elasticsearch 为7.6.2 则 fluent-plugin-elasticsearch 应该在 5.0.3,版本无法对应的话,fluent 启动时 将报 无法连接至elasticsearch,如下:**[在这里插入图片描述](https://img-blog.csdnimg.cn/1d4eb6e305e246409a2f31e0357bb8ef.png)
精选资源
记一次K8s EFK(elasticsearch+fluentd+kibana)搭建排错经历
01-07
部署教程:https://qhh.me/2019/09/05/Kubernetes-基于-EFK-技术栈的日志收集实践/ yaml地址:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch 部署教程里面的两个注意...
学习笔记五:在k8s中安装EFK组件(elasticsearch+fluentd+kibana)
weixin_43258559的博客
08-06 1306
我们使用daemonset控制器部署fluentd组件,这样可以保证集群中的每个节点都可以运行同样fluentd的pod副本,这样就可以收集k8s集群中每个节点的日志,在k8s集群中,容器应用程序的输入输出日志会重定向到node节点里的json文件中。把elasticsearch-7-12-1.tar.gz和 fluentd-v1-9-1.tar.gz和 kibana-7-12-1.tar.gz上传到k8smaster1和k8snode1机器上,手动解压。
k8s集群搭建EFK日志平台:ElasticSearch + Fluentd + Kibana
全栈测试笔记
11-09 586
k8s集群 kubectl get node EFK简介 ElasticSearch:分布式存储检索引擎,用来搜索、存储日志 Fluentd日志采集 Kibana:读取es中数据进行可视化web界面展示 下载 https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch 安装...
精选资源
Elasticsearch+Fluentd+Kafka搭建日志系统
01-20
日志管理领域,传统的ELK(Elasticsearch, Logstash, Kibana)堆栈正逐渐被EFKElasticsearch, Fluentd, Kafka)所取代,原因是Logstash在处理大量日志时可能消耗过多内存,而Fluentd在轻量级日志收集方面表现更...
使用fluentd作为docker日志驱动收集日志
01-07
前言 docker默认的日志驱动是json-file,每一个容器都会在本地生成一个/var/lib/docker/containers/containerID/containerID-json.log,而日志驱动是支持扩展的,本章主要讲解的是Fluentd驱动收集docker日志. Fluentd是用于统一日志记录层的开源数据收集器,是继Kubernetes、Prometheus、Envoy 、CoreDNS 和containerd后的第6个CNCF毕业项目,常用来对比的是elastic的logstash,相对而言fluentd更加轻量灵活,现在发展非常迅速社区很活跃,在编写这篇blog的时候
Elasticsearch+Fluentd+Kibana+docker-compose容器日志监控
weixin_30497527的博客
10-24 373
核心思路: Elasticsearch+Kibana部署在单独的服务器上,Fluentd运行在承载docker容器的服务器上,通过容器内置参数logging driver来获取日志, docker-elastickibana.yml version: '2' services: elasticsearch: image: docker.elastic.co/e...
搭建EFKelasticsearch + fluentd + kibana日志系统
wjf8882300的专栏
12-30 7975
搭建EFK(elastic search + fluentd + kibana日志系统 网上关于这一块的介绍已经有不少了,但发现基本介绍的都是在一台机器上的demo,实用性不强。事实上如果应用很简单,根本没必要搭建专门的日志系统来收集日志,直接看日志文件就好了。出现这种需求反而是大型系统或者微服务架构,有几十上百甚至上千台服务的时候,如果还是传统的到服务器上看日志,那就看不过来了。特别是集群环境...
K8S部署EFKfluentd收集日志
qq_39746321的博客
03-19 3094
部署EFK日志收集系统,收集K8S对应pod的日志
k8s上安装fluentd收集日志
weixin_34296641的博客
06-07 5688
fluentd用于收集k8s容器中的日志收集后的日志写入es中,我的es直接搭建在服务器上,要经过多方测试再决定是否要将es放在k8s上;fluentd-es-configmap.yaml:此文件为fluentd的配置文件kind:ConfigMap apiVersion:v1 metadata: name:fluentd-es-config-v0.2.0 n...
K8S日志单节点搭建 elasticsearch+kibana+fluentd
qq_20663175的博客
09-06 1076
elasticsearch+kibana+fluentd K8S可视化自动收集日志
k8s笔记10--fluentd收集k8s集群日志到es
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
07-18 4774
k8s笔记10--fluentd收集k8s集群日志到es1 介绍2 采集方案3 注意事项4 说明 1 介绍 2 采集方案 3 注意事项 4 说明
k8s收集日志
ss810540895的博客
12-29 1915
k8s在1.23版本之后就不用fluentd-es来收集日志了,而是把日志通过fluentd日志直接打到存储,所以下面的文件在后面的版本已经没有了,不过还是照样可以用。
给我在k8s集群内部署es+fluentd+kibana技术栈的文档
03-31
好的,用户现在想要在Kubernetes集群内部署ElasticsearchFluentdKibanaEFK)技术栈的文档。首先,我需要理解用户的需求。用户可能正在搭建一个日志管理系统,用于收集、存储和可视化Kubernetes中的日志EFK是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值