容器日志收集ELK+Filebeat+Kafka

最新推荐文章于 2025-06-07 18:02:01 发布
最新推荐文章于 2025-06-07 18:02:01 发布
阅读量2.1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 日志收集 docker kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35904833/article/details/98751164
本文介绍了一种基于Filebeat、Kafka、Logstash、Elasticsearch和Kibana的Kubernetes容器日志收集方案。该方案利用Daemonset在每个Node节点部署Filebeat收集日志,通过Kafka传递至Logstash,再由Logstash处理后存入Elasticsearch,并最终在Kibana展示。文章详细对比了文件读取、Daemonset和Sidecar三种日志采集方式,推荐使用Daemonset方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

随着容器如火如荼的发展,分布式的业务架构日志收集便也成了我们需要重点考虑之一;传统方式中已经有相对成熟的解决方案,无不外乎容器中我们同样能够采取相同的架构解决容器基于Kubernetes的日志收集问题;

 

组件介绍

对于这套方案,网上已经有无数种介绍,在此就不再对各大组件进行赘述,仅做简单描述

组件作用优点
Filebeat作为客户端收集日志,输送消息至Kafka占用资源少,处理数据快,十分稳定
Kafka接收Filebeat产生的消息,并由Logstash进行消费解决程序异常导致的日志丢失问题
Logstash消费Kafka中的消息,根据规则自动创建索引可配置型高,支持多输入输出方式
Elasticsearch持久化存储数据便于检索查询
Kibana展示日志收集结果便于结果查询

 

架构图

 

容器日志采集方式

  • 文件读取: 容器日志通过程序定义输出到文件然后通过挂载出来

  • Daemonset: 在Node节点部署filebeat采集容器日志

  • Sidercar: 在每个Pod中部署sidecar容器用于收集容器日志

这三种方式各有利弊,从维护性及资源使用上,比较推荐的是Daemonset方式

 

要求

  • 首先需要在每个Node节点上部署filebeat

  • 定义容器中的日志输出到控制台,以nginx为例

         access_log /dev/stdout json;
     error_log  /dev/stderr;

  • 为Pod添加annotations用于收集控制参数

          annotations:
        filebeat.harvest: "true"
        filebeat.index: "elktest"

日志收集效果

场景是否丢日志测试过程
更新nginx/php配置时持续请求2W次,日志有2W条展示
更新k8s yaml模版持续请求2W次,日志有2W条展示
更新代码持续请求2W次,日志展示偶尔少1条、2条,无错误日志;经排查由于脚本执行过程中未发起http请求
Hpa进行弹性伸缩持续请求2W次,日志有2W条展示
Hpa进行弹性伸缩的情况下更新代码是(出现502情况)持续请求2W次,日志有大于2W条展示日志,有短时间502出现(5~20S服务不可达)待调优

服务部署

为防止篇幅过长影响可读性,部署章节分文编写,请见下章

容器日志收集详解
叱咤少帅的博客
11-22 551
容器日志收集实践
ELK+Kafka+filebeat分布式日志收集】docker部署elasticsearch和kafka (四)
阿杰
05-13 594
创建互联网络拉取镜像挂载目录授权启动容器修改配置文件。
Kubernets:容器日志收集方案
热门推荐
琦彦
03-14 1万+
Kubernetes 日志系统建设难点 典型的 Kubernetes 架构 Kubernetes 上的日志方案相比我们之前基于物理机、虚拟机场景的日志方案有很大不同,例如: 日志的形式变得更加复杂,不仅有物理机/虚拟机上的日志,还有容器的标准输出、容器内的文件、容器事件、Kubernetes 事件等等信息需要采集; 环境的动态性变强,在 Kubernetes 中,机器的宕机、下线、上...
日志收集工具-Filebeat
最新发布
世界万般阻碍,我们见字如面!
06-07 975
filebea
日志管理:收集和分析Docker容器日志
日常分享数据分析开发、编程语言内容
12-17 2237
通过深入了解Docker容器日志管理的基础和高级技术,读者可以更好地把握容器化应用的日志产生、收集、分析和利用全过程。从基础的日志查看和驱动配置到使用Fluentd、ELK Stack等高级日志收集工具,再到日志的搜索、分析和安全性处理,这一系列技术手段帮助我们更好地理解和应用日志管理的关键。通过科学合理地配置和管理Docker容器日志,不仅能够提高系统的稳定性和安全性,也为故障排查、性能优化和合规性需求提供了强大的支持。希望本文能够为读者在Docker容器日志管理领域的学习和实践提供有益的参考。
50 | 让日志无处可逃:容器日志收集与管理
qq_37756660的博客
11-22 216
在本篇文章中,详细讲解了 Kubernetes 项目对容器应用日志收集方式。综合对比以上三种方案,比较建议将应用日志输出到 stdout 和 stderr,然后通过在宿主机上部署 logging-agent 的方式来集中处理日志。这种方案不仅管理简单,kubectl logs 也可以用,而且可靠性高,并且宿主机本身,很可能就自带了 rsyslogd 等非常成熟的日志收集组件来供你使用。
容器日志收集与管理:让日志无处可逃
图灵教育
06-11 1090
本文将详细介绍 Kubernetes 里对容器日志的处理方式。首先需要明确,Kubernetes 里对容器日志的处理方式都叫作 cluster-level-logging,即这个日志处理系...
ELK+filebeat+kafka日志收集
qq_39239712的博客
03-27 1020
我们主要完成在Docker环境下部署 Filebeat 日志收集工具,他是搭建ELK日志非常重要的一部分,我们利用Filebeat日志收集完成之后,将数据写入 Elasticsearch 后用 Kibana 进行可视化展示,目前我们已经完成了Fliebeat + Es +Kibana部分。
ELK + Filebeat + Kafka 分布式日志管理平台搭建
2301_82242204的博客
04-23 974
在部署的过程中可能会遇到各种情况,此时根据日志说明都可以百度处理(如部署的过程中不能分配内存的问题)。如果完成后如果数据显示不了,可以先到根据工作流程到各个节点查询数据是否存储和传输成功。如查询filebeat是否成功把数据传输到了kafka,可以进入kafka容器当中使用kafka中如下命令查询:查看日志filebeat中的数据是否正常在kafka中存储。
ELK+Filebeat+Kafka+Zookeeper日志分析系统搭建
wwwu1998的博客
07-14 1161
ELK+Filebeat+Kafka+Zookeeper日志分析系统搭建
elk+filebeat分布式日志收集
冰叶纷飞的博客
09-17 1831
elk环境搭建filebeat程序安装filebeat配置修改 filebeat.yml修改如下:# 监控日志文件地址 paths:- d:/_tmp/log/*.log # 对于行不是以日期开头,都归到上一行 multiline.pattern: ^\d{4}([-]\d{2}){2}\s\d{2}([:]\d{2}){2}[.]\d{3} multiline.negate: true m
4.4 Docker 日志与监控(1):收集和分析容器日志
xiaoheshang_123的博客
12-15 1435
Docker 提供了多种内置的日志驱动程序,允许你将容器日志输出到不同的目标。为了更高效地管理和分析容器日志,通常需要结合第三方日志管理工具,如 ELK Stack、EFK Stack、Prometheus + Grafana、Datadog 等。通过合理的配置和管理,你可以显著提升容器日志收集和分析能力,确保应用程序的稳定性和性能。统一日志格式:确保所有容器日志采用统一的格式,便于解析和分析。添加元数据:在日志中添加必要的元数据,有助于更好地理解和分析日志。设置合理的日志保留策略。
一份超实用的 Kubernetes 日志收集方案,助你优雅管理容器日志
easylife206的专栏
01-14 2849
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !本文主要聊聊Kubernetes场景下收集微服务应用日志方案,相对来说更接地气,非常好落地。微服务应用的日志链路一般比较长,包含以下环节:日志收集日志缓冲 → 日志过滤清洗 → 日志存储 → 日志展示。每个环节都有多种对应的组件去解决,这样的结果就是业内组合出了多种整体解决方案。以前我的微服务部署在IDC机房虚...
filebeat日志收集
韩华盛博客
05-06 633
filebeat是一个用于转发和收集日志数据的轻量级托运工具,监控日志文件或指定的本地路径,收集日志事件,并转发到Elasticsearch和Logstash用于检索。Filebeat工作介绍:当启动Filebeat时,它启动一个或多个输入,这些输入查看为日志数据指定的位置。对于Filebeat定位的每个日志Filebeat都会启动一个收集器。每个收集器读取单个日志以获取新内容,并将新日志数据发送给libbeat, libbeat聚合事件并将聚合的数据发送到为Filebea配置的输出。
简述Kubernetes容器日志收集原理!
06-25 474
概述 关于容器日志 Docker的日志分为两类,一类是Docker引擎日志;另一类是容器日志。引擎日志一般都交给了系统日志,不同的操作系统会放在不同的位置。本文主要介绍容器日志容器日志可以理解是运行在容器内部的应用输出的日志,默认情况下,docker logs显示当前运行的容器日志信息,内容包含 STOUT(标准输出)和STDERR(标准错误输出)。日志都会以json-file的格式存储于 /var/lib/docker/containers/<容器id>/<容器id&gt.
部署FileBeat采集日志发送到Kafka集群服务器
krb___的博客
09-09 1735
Filebeat是用于转发和集中日志数据的轻量级发送器。Filebeat作为代理安装在您的服务器上,监视您指定的日志文件或位置,收集日志事件,并将它们转发到弹性搜索或者Logstash用于索引。Filebeat是这样工作的:当您启动Filebeat时,它会启动一个或多个输入,这些输入会在您为日志数据指定的位置中查找。对于Filebeat找到的每个日志Filebeat都会启动一个采集器。
SpringBoot 项目使用 SLF4J+logback 进行日志记录,来增强可维护性
Java知音
11-02 1020
作者:云深不知处blog.youkuaiyun.com/mu_wind/article/details/99830829SpringBoot会默认使用logback作为日志框架,在生成springb...
ELKfilebeat采集数据输出到kafka指定topic
youmiqianyue的博客
12-24 2402
daemonset部署filebeat输出到kafka并分流到不同topic,亲测可用
Filebeat+ELK7系列 整合日志收集 WIN10(也可linux)
crazyo2jam的博客
04-07 710
1,先下载这4个服务包(zip),虽然我在win10上使用 不过代码同样可以在linux跑 https://www.elastic.co/cn/downloads 2.解压4个压缩包 3.1 es和kibana的安装请看 虽然是6版本 https://blog.youkuaiyun.com/crazyo2jam/article/details/104168077 3.2 配置 Filebeat 由于我...
springboot集成kafka+elk
02-19
### 集成 KafkaELK 到 Spring Boot 项目 #### 使用 Spring Boot 进行 Kafka 的集成 为了使 Spring Boot 应用程序能够发送和接收消息,可以利用 `spring-kafka` 依赖项来简化这一过程。通过配置文件中的几行设置以及一些简单的 Java 注解就可以实现基本的消息传递功能[^1]。 ```xml <dependency> <groupId>org.springframework.kafka</groupId> <artifactId>spring-kafka</artifactId> </dependency> ``` 对于生产者端而言,在应用程序属性文件中定义 Kafka broker 地址和其他必要的参数之后,只需要创建一个带有 `@KafkaListener` 注解的方法即可监听特定主题上的消息;而对于消费者,则可以通过注入 `KafkaTemplate` 来轻松地向指定的主题发布新消息。 #### 将日志数据导入到 ELK 堆栈 为了让 Spring Boot 日志能被收集并处理,通常会采用 Logback 或 Log4j2 等框架作为应用的日志记录器,并配合 Filebeat 工具定期扫描这些日志文件并将它们转发给 Logstash 处理。Logstash 可以解析、过滤和转换接收到的数据流,最终将其存储至 Elasticsearch 中供后续查询分析之用[^2]。 ```json input { beats { port => "5044" } } filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601}@%{JAVACLASS}" } } } output { elasticsearch { hosts => ["http://localhost:9200"] } } ``` 上述配置展示了如何让 Logstash 接收来自 Beats 客户端传输过来的日志条目,并运用 Grok 插件提取其中的时间戳与类名信息以便更好地索引文档结构化字段。最后再把整理好的事件写入本地运行着的 ES 实例里去。 #### 结合使用 Alibaba Cloud 提供的服务 如果考虑部署于云端环境的话,那么借助像阿里云这样的平台所提供的托管解决方案将会大大减轻运维负担。例如官方博客提到过可以在其容器服务之上无缝接入自家的日志管理组件——SLS (Simple Logging Service),从而更高效便捷地完成整个监控体系搭建工作[^3]。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值