K8s容器日志实时收集FileBeat+ES+Kibana

最新推荐文章于 2025-08-02 23:55:25 发布
原创 最新推荐文章于 2025-08-02 23:55:25 发布 · 6.4k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在Kubernetes(K8s)环境中,利用FileBeat收集容器日志并配合Elasticsearch(ES)和Kibana进行实时分析的流程。首先讲解了FileBeat的工作原理,包括harvester和prospector组件,然后详细阐述了从Tomcat镜像制作、FileBeat镜像构建到Elasticsearch和Kibana的安装过程。最后,文章通过k8s测试验证了日志收集的正确性和实时性。

K8s容器日志实时收集FileBeat+ES+Kibana

www.i4t.com

标签(空格分隔): ELK

文章目录

k8s日志收集第一种方式
filebeat.png-197.6kB
k8s日志收集第二种方式
filebeat.png-197.6kB

环境说明

IP地址 服务 主机名
10.4.82.119 docker、k8s_master|node、 master
10.4.82.120 docker、 k8s_node、kibana node
10.4.82.115 es、Harbor镜像仓库、docker (主要作用就是打一个filebeat镜像) i4t

提示:filebeat跑在k8s容器内部,所以没有单独创建服务

一、FileBeat

作为 Beats 家族的一员,Filebeat 是一个轻量级的日志传输工具,它的存在正弥补了 Logstash 的缺点:Filebeat 作为一个轻量级的日志传输工具可以将日志推送到中心 Logstash。

在版本 5.x 中,Elasticsearch 具有解析的能力(像 Logstash 过滤器)— Ingest。这也就意味着可以将数据直接用 Filebeat 推送到 Elasticsearch,并让 Elasticsearch 既做解析的事情,又做存储的事情。也不需要使用缓冲,因为 Filebeat 也会和 Logstash 一样记住上次读取的偏移:
image_1d6v3v2fn29s1oa932m3nf1i0n9.png-24.1kB
如果需要缓冲(例如,不希望将日志服务器的文件系统填满),可以使用 Redis/Kafka,因为 Filebeat 可以与它们进行通信:
image_1d6v3vfrn16g7bmp18ct1cm7pvom.png-32.1kB

Filebeat 优点

Filebeat 只是一个二进制文件没有任何依赖。它占用资源极少,尽管它还十分年轻,正式因为它简单,所以几乎没有什么可以出错的地方,所以它的可靠性还是很高的。它也为我们提供了很多可以调节的点,例如:它以何种方式搜索新的文件,以及当文件有一段时间没有发生变化时,何时选择关闭文件句柄。

Filebeat 缺点

Filebeat 的应用范围十分有限,所以在某些场景下我们会碰到问题。例如,如果使用 Logstash 作为下游管道,我们同样会遇到性能问题。正因为如此,Filebeat 的范围在扩大。开始时,它只能将日志发送到 Logstash 和 Elasticsearch,而现在它可以将日志发送给 Kafka 和 Redis,在 5.x 版本中,它还具备过滤的能力。

典型应用场景

Filebeat 在解决某些特定的问题时:日志存于文件,我们希望

① 将日志直接传输存储到 Elasticsearch。这仅在我们只是抓去(grep)它们或者日志是存于 JSON 格式(Filebeat 可以解析 JSON)。或者如果打算使用 Elasticsearch 的 Ingest 功能对日志进行解析和丰富。

② 将日志发送到 Kafka/Redis。所以另外一个传输工具(例如,Logstash 或自定义的 Kafka 消费者)可以进一步丰富和转发。这里假设选择的下游传输工具能够满足我们对功能和性能的要求。

1.1 FileBeat工作原理

Filebeat是本地文件的日志数据采集器。作为服务器上的代理安装,Filebeat监视日志目录或特定的日志文件tail -f file并将它们转发给ES、Logstash、Kafka

Filebeat由二个主要组件组成:prospectorhavvester 这些组件一起工作读取文件并将时间数据发送到指定的输出

启动Filebeat时,它会启动一个或多个查找器,查看您的日志文件指定的本地路径。对**prospector**所在的每个日志文件,prospector启动harvester。每个harvester都会为新内容读取单个日志文件,并将新日志数据发送到libbeat,后者将聚合事件合并聚合数据发送到Filebeat配置的输出

kafka-img.png-83.3kB

harvester

负载读取单个文化的内容。读取每个文件,并将内容发送到the output。每个文件启动一个harvester,负责打开和关闭文件,这意味着在运行时文件描述符保持打开状态
如果文件在读取时被删除或重命名,Filebeat将继续读取文件。在harvester关闭之前,磁盘上的空间被保留。默认情况下,Filebeat将文件保持打开状态,直到达到close_inactive状态

关闭harvester会产生以下结果

1.如果在harvester仍在读取文件时文件被删除,则关闭文件句柄,释放底层资源。
2.文件的采集只会在scan_frequency过后重新开始
3.如果在harvester关闭的情况下移动文件,则不会继续处理文件
prospector

负责管理harvester并找到所有要读取的文件来源。
如果输入类型为日志,则查找器将查找路径匹配的所有文件,并为每个文件启动一个harvester。每个prospector都在自己的Go斜程中运行

以下示例将Filebeat配置为从与指定的匹配的所有日志文件中收集行:

filebeat.prospectors:
- type: log
  paths:
    - /data/log/*.log
    - /data/log4j/*.log

Filebeat目前支持两种prospector类型:logstdin
每个prospector类型可以定义多次
日志prospector检查每个文件以查看harvester是否需要启动,是否已经运行

只有在harvest关闭后文件大小发生了变化,才会读到新行

注:Filebeat prospector只能读取本地文件,没有功能可以连接到远程主机来读取存储的日志或文件

Filebeat 保持文件状态

Filebeat 保存每个文件的状态并经常讲状态刷新到磁盘上的注册中心中。该状态用于记录harvest正在读取的最后偏移量,并确保发送所有日志行。

如果输出(例如ES或Logstash)无法访问,Filebeat会跟踪最后发送的行,并在输出再次可用时继续读取文件。

在Filebeat运行时,

最低0.47元/天 解锁文章

200万优质内容无限畅学
k8s部署elasticsearch+filebeat+kibana
weixin_40548182的博客
03-12 1068
创建elasticsearch和kibana资源 创建elasticsearch的ConfigMap cat elasticsearch-configmap.yaml apiVersion: v1 kind: ConfigMap metadata: name: elasticsearch-configmap namespace: kube-system data: elasticsearch.yml: | cluster.name: my-elasticsearch path.
filebeat+es+kibana搭建攻略
sf131097的专栏
05-21 1767
1.首先多索引的filebeat.yml配置如下 并且采集的时候多行日志处理成一行: multiline.pattern: ^\[ 不以[开头的都被合并到上一行 multiline.negate: true 不匹配pattern的都合并到上一行 multiline.match: after 合并到上一行的末尾 filebeat.inputs: - type: log paths: - /admin/logs/deviceserver.js/biz*.log fields: .
K8S环境 使用ELK+Filebeat 收集容器日志的方案和安装部署
likangdir的博客
03-17 4120
ELK + Filebeat K8S环境安装 通过helm来安装 ELK+Filebeat 相关的chart已经上传 github.com 点击此处 ELK+Filbeat 下载原码 怎么说呢,helm安装特别简单,没啥说的,主要是chart编写,详情这里就不说了,点击之处了解 ,现把主要的编排内容摘抄如下: kind: StatefulSet metadata: name: enervated-puma-elasticsearch labels: heritage: "Tiller"
K8S部署ELK(一):部署Filebeat日志收集
最新发布
weixin_74812406的博客
08-02 1098
K8S部署ELK(一):部署Filebeat日志收集
k8s中用filebeat文件如何收集不同service的日志
weixin_44151123的博客
12-13 1695
一个详细的从在 Kubernetes 集群中部署 Filebeat,到实现按web-oper、web-api微服务分离日志并存储到不同索引的完整方案
Filebeat + ES + kibana Ingest node 做解析
Lyncai的专栏
09-08 356
https://zhuanlan.zhihu.com/p/77413046 使用Filebeat + ES + Kibina的组合进行日志收集的一个优点就是轻量级,因为去掉了笨重的logstash, 占用资源更少。但这也引入了一个问题,即filebeat并没有logstash那样强大的日志解析能力,往往只能把整条日志当成一个整体扔到ES中。好消息是,ES从5.x版本开始引入了Ingest Node,即允许你在对文档进行索引之前进行预处理,且支持logstash的Grok语法。因此我们可以在ES中针对我
K8S使用filebeat统一收集应用日志
weixin_33720078的博客
04-24 1167
今年3月份在公司的内部k8s培训会上,开发同事对应用整合进pod提出了几个问题,主要围绕在java应用的日志统一收集、集中存放和java jvm内存监控数据收集相关的点上,本文将介绍使用filebeat实现pod日志的统一收集,集中存放使用集群外的elasticsearch,后续可以加上kibana及模板文件实现更友好的数据展示。 一、准备和测试tomcat基础镜像该镜像主要是配置jdk环境变...
k8s 使用Filebeat+Kafka+Logstash+ES收集容器内的日志
weixin_44204737的博客
08-29 1026
通过filebeat容器,使用空目录挂载到应用程序内的日志文件目录。然后将日志发送到kafka-service,然后logstash获取kafka的数据发送给es-service。再通过kibana来查看。读取应用程序容器内的日志,通过emptyDirg挂载应用程序的日志目录来读取。获取kafka集群的日志信息,解析后发送给es集群进行存储。会通过volumes挂载到filebeat容器中。输入filebeat*点击next stop。接收filebeat读取的日志信息。用来展示日志es集群的信息。
Filebeat+Kafka+数据处理服务+Elasticsearch+Kibana+Skywalking日志收集系统
skyqiyunhun的博客
06-20 3268
该文档不会为读者提供中间件的安装和部署教学,仅作为我在这大半年从零开始建立日志收集系统的整个过程。 读者能从本文看到一条从零开始的日志收集系统的建立通路,能看到我选择和处理的过程和碎碎念...
【EFK】k8s部署ElasticSearch+Fluentd+Kibana进行日志收集
Marcos921的博客
01-20 1095
通过结合Elasticsearch的存储和搜索功能、Fluentd的采集和处理功能以及Kibana的展示和分析功能,开发者可以实现日志收集、存储、搜索、分析和可视化。在子配置文件中设置时间戳格式,并在子配置文件中定义使用kubernetes插件,根据日志中的pod信息查对应k8s信息,并在日志中增加k8s信息,并配置logstash格式输出。编写yaml创建ES的Service,使用有状态应用StatefulSet创建ES集群,使用NFS做PV,存储ES数据到PV中。Kibana版本:7.2.0。
Filebeat + es +kibana
登高~
01-19 1164
背景 分析--->报警 Kibana 展示 Kibana 存储 ElasticSerach 过滤 Logstash 收集 Filebeat, Logstash logstash:因为是由java写的,所以在它收集日志时非常占用业务系统的资源,从而影响线上业务,所以我们将其替换为filebeat. filebeat:为轻量的日志收集组件,会让业务系统的运行更加的稳定. 由于痛点: 1.出现故障,要排查的日志非常的多,没有办法很快定位; 2.统计TOP,PV,UV,I
Kubernetes(K8S)容器Filebeat yaml文件.pdf
09-23
Kubernetes(K8S) 容器Filebeat yaml文件
日志收集filebeat使用介绍 -K8s
shizhiyi的博客
07-24 2630
版本:filebeat-7.12.0是关于k8s日志采集,部署方式是采用的方式,采集时按照k8s集群的进行分类,然后根据的名称创建不同的到kafka中一般情况下,容器中的日志在输出到标准输出(stdout)时,会以的命名方式保存在目录中,当然如果修改了的数据目录,那就是在修改后的数据目录中了,例如: 这里能看到,有这么个文件: ,然后k8s默认会在和目录中会生成这些日志文件的软连接,如下所示: 然后,会看到这个目录下存在了此宿主机上的所有容器日志,文件的命名方式为: 上面这个是的命名方式,其他
Filebeat on k8s 日志采集实战操作
匠人精神,持之以恒!
11-05 1747
Filebeat 是一个轻量级的开源日志文件和数据收集器,由 Elastic 公司开发,用于采集、解析和发送日志数据。在 Kubernetes 中,Filebeat通常用于采集容器日志,并将其发送到中央日志存储、分析或搜索工具,如 Elasticsearch、Logstash 或 Fluentd。
k8s 安装filebeat使用 以及自定义filebeat.yml
随风往事
06-09 1076
【代码】k8s 安装filebeat使用 以及自定义filebeat.yml。
filebeat收集K8S日志,写入自动创建的索引
热门推荐
yanggd1987的专栏
09-08 1万+
需求 前面我们已经将SpringBoot项目部署在K8S中,此时需要filebeat收集日志并通过ELK进行展示,以用于后续的问题排查及监控。 与传统的日志收集不同: pod所在节点不固定,每个pod中运行filebeat,配置繁琐且浪费资源; pod的日志目录一般以emptydir方式挂载在宿主机,目录不固定,filebeat无法自动匹配; pod持续增多,filebeat需要做到自动检测并收集; 因此最后的收集方式为一个filebeat能够收集所有的pod日志,但是这就要求统一的日志收集规则、目录以
Filebeat k8s 部署(Deployment)采集 PVC 日志发送至 Kafka——日志处理(二)
奔跑的蜗牛的博客
07-19 1576
在之前的文章中总结了如何配置 Django 项目的日志,将日志以 JSON 格式写入日志文件。 我们的项目服务是部署在 k8s 上的,日志是挂载在 PVC 中的,接下来我们需要使用 Filebeat 去采集 PVC 中的日志,发送至 kafka 中,本文将总结如何在 k8s 上部署 Filebeat, 来采集 PVC 中的日志
较详细的filebeat+es+kibana+sentinl,日志采集+mail、钉钉报警
MJ的博客
10-31 4574
1.总体架构图 2.日志截图,filebeat需要采集json日志行。中文变量是为了可读性。JSON.toJsonstring(obj,true)进行pretty打印JSON 3.filebeat配置,多使用 ./filebeat -e -c filebeat.yml -d '*' 查看采集状况,filebeat自带一些常用模块如mysql慢查询,错误日志。进入fileb...
macos k8s环境下基于filebeat、ElasticSearch、Kibana日志解决方案
weixin_43279440的博客
10-27 856
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
k8s容器日志解决方案
06-10
### K8s 容器日志收集与管理解决方案 在 Kubernetes 环境中,容器日志管理是一个重要的运维环节。以下是一些推荐的解决方案及其优缺点分析: #### 1. **Sidecar 容器模式** Sidecar 容器模式通过在每个 Pod 中添加一个专门用于日志收集容器来实现日志管理。这种方案部署简单且对宿主机友好[^1],但可能会消耗较多资源,甚至拖垮应用容器。此外,由于日志未输出到标准输出(stdout),因此无法通过 `kubectl logs` 查看日志内容[^1]。 示例 Dockerfile: ```dockerfile FROM logstash:7.6.2 LABEL author="admin@163.com" WORKDIR /usr/share/logstash COPY logstash.yml /usr/share/logstash/config/logstash.yml COPY logstash.conf /usr/share/logstash/pipeline/logstash.conf USER root RUN usermod -a -G root logstash ``` #### 2. **ELK + Filebeat 方案** ELK(Elasticsearch、Logstash、Kibana)结合 Filebeat 是一种常见且灵活的日志收集方案。Filebeat 运行在应用 Pod 中,负责收集日志并转发给 Logstash,最终存储到 Elasticsearch 中以供查询和分析[^3]。此方案的优点包括资源消耗少、扩展性强,并支持大集群系统的运维需求。然而,需要额外部署和维护 ELK 堆栈,增加了复杂性。 #### 3. **Fluentd 集成方案** Fluentd 是一种流行的开源数据收集器,广泛应用于 Kubernetes 日志管理。它可以直接运行在节点上或作为 sidecar 容器,将日志数据发送到多种后端存储(如 Elasticsearch、S3 等)。Fluentd 支持插件扩展,能够处理复杂的日志格式和数据流[^4]。 示例 Dockerfile: ```dockerfile FROM fluent/fluentd:v1.14-1 USER root RUN apk add --no-cache build-base ruby-devel && \ gem install fluent-plugin-elasticsearch && \ apk del build-base ``` #### 4. **基于 Node 的集中式日志收集** 在节点层面部署集中式日志收集服务(如 Fluentd 或 Filebeat),统一收集所有容器日志并转发到后端存储系统。这种方式无需为每个 Pod 添加 sidecar 容器,减少了资源开销,但也可能因单点故障导致日志丢失[^2]。 #### 5. **云原生日志解决方案** 如果使用的是托管 Kubernetes 服务(如 GKE、EKS 或 AKS),可以考虑利用其内置的日志管理功能。例如,Google Cloud Operations Suite 提供了与 Kubernetes 集成的日志收集和监控服务,简化了日志管理流程[^5]。 --- ### 总结 每种方案都有其适用场景和局限性。对于小型项目或资源受限环境,sidecar 容器模式可能是最简单的选择;而对于大规模生产环境,ELK + Filebeat 或 Fluentd 集成方案则更为合适。如果使用托管 Kubernetes 服务,建议优先考虑其内置的日志管理功能。 ```python # 示例代码:通过 Python 调用 Kubernetes API 获取 Pod 日志 from kubernetes import client, config config.load_kube_config() v1 = client.CoreV1Api() log_response = v1.read_namespaced_pod_log(name="example-pod", namespace="default") print(log_response) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值