fluentd收集容器日志信息到es配置注意

最新推荐文章于 2025-06-15 11:39:05 发布
原创 最新推荐文章于 2025-06-15 11:39:05 发布 · 5.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何使用fluentd代替filebeat直接收集容器日志,避免日志持久化到本地,节省磁盘空间。通过配置docker日志driver为fluentd,安装fluent-plugin-elasticsearch插件,将日志发送到ES。同时,文章讨论了如何通过优化fluentd配置,添加特定标签以区分不同应用日志,简化日志查询和管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

fluentd是常用容器日志收集工具,与filebeat不同,fluentd可以将容器日志在不落到本地以文件形式存在的情况下,将日志收集并吐到对应的存储中。
例如,通常情况下,容器app的日志需要通过挂在,把容器日志目录挂在到本地,然后日志输出到log文件,以此来持久化。在通过filebeat等日志收集共工具将持久化的log文件吐到相应的日志存储(es或者kafka)中。
通过fluentd,容器不必将日志持久化到本地,fluentd可以直接收集docker logs <container_id>打印的日志,并吐到相应的日志存储中。这样可以节省磁盘空间。
要实现这样的功能需要如下配置:

1.配置docker日志driver为fluentd

在启动容器时,添加参数–log-drive=fluentd。
例如: docker run --log-driver fluentd nginx:latest这样将使容器以fluentd作为日志driver。

2.配置fluentd

fluentd有许多插件,输出到es需要安装fluent-plugin-elasticsearch插件,安装过程可以查看fluentd官方文档。

<match **>
  @type elasticsearch
  host localhost
  port 9200
  logstash_format true
</match>

host:es服务器地址
port:es服务端口

此为一个简单fluentd配置文件。fluentd配置有许多功能,例如新增label或者替换label,以及根据label进行过滤。
当我们配置完成后,通过kibana查看日志,会看到类似下面这样的日志:

  • 配置Kibana index pattern
    es以index来分别存储收集到的日志,fluentd默认吐到es中的日志的index为logstash,因此在kibana中,创建logstash-*的index patter,这样kibana将展示所有以“logstash-”头的日志。
    在这里插入图片描述
  • 查询日志
    配置好后,可以在kibana中查询到类似如下日志。
    初始收集到的日志
    可以看出,上面一条日志除了container_name能够勉强识别出该条日志来自于thrall这个app应用,其余信息都不能够明显显示出该条日志来自哪个应用。另外,由于所有app日志默认index为logstash,当我们需要查看某项app是否有错误日志时,查询将变得异常麻烦。
    为了解决以上痛点,我们接下来对fluentd进行一些优化配置。

3.优化配置fluentd

在开始运行docker容器时,我们添加了参数--log-driver fluentd来指定容器日志输出到fluentd进行转发,但收集到的日志没有明显能够说明该条日志来自于哪个app的标签。这样的需求可以通过在启动容器时添加--log-opt tag=thrall参数使得该容器输出的日志都带上tag=thrall的标签。这样我们就可以知道该条日志来源于哪个app。

<match *thrall*>
  @type elasticsearch
  host localhost
  port 9200
  include_tag_key true
  tag_key log_name
  logstash_format true
  logstash_prefix thrall
</match>

<match *thrall*>:匹配tag中包含thrall的日志。
include_tag_key:会输出所有tag到每一条日志记录中。
tag_key log_name:重命名--log-opt tag=thrall中tag在日志中显示的名称。
logstash_prefix thrall:该参数会使日志的index为thrall-*,在kibana创建index pattern时,就可以通过thrall-*找到所有thrall应用的日志。

完成以上配置,我们来看看日志在kibana中的显示。

  • 首先配置index pattern
    在这里插入图片描述
    在create index pattern界面中输入logstash_prefix thrall配置的thrall-*如果有日志,create按钮会可点击状态,这样,thrall的所有日志可以在该index pattern下找到。
  • 查看日志内容
    在这里插入图片描述
    创建好index pattern之后,可以在查看日志中把thrall-*的index过滤出来。
    在这里插入图片描述
    上面为一条优化后的日志。
    log_name为tag_key log_name配置的log_name。_indexlogstash_prefix + 日志收集日期。
    这样一来一条日志就可以明确知道该条之日来自哪个应用,并且通过index pattern,可以将同一应用日志通过相通的Index集中到一起查看。
triThirty
关注
基于Elasticsearch + Fluentd + Kibana(EFK)搭建日志收集管理系统
dvlinker的技术专栏
07-01 1万+
详细讲述基于Elasticsearch、Fluentd和Kibana的日志管理系统搭建过程。
容器日志收集详解
叱咤少帅的博客
11-22 551
容器日志收集实践
Docker环境下的EFK日志分析实践:从Filebeat采集到Kibana可视化的完整部署指南
最新发布
楠搏万的博客
06-15 1175
EFK日志方案:Elasticsearch储存检索,Filebeat轻量采集容器/主机日志,Kibana可视化;Docker-Compose一键部署,7.10.2-oss镜像免授权,支持单节点开发、持久化、元数据增强、basePath定制。适用微服务、云原生日志集中分析,快速部署,成本低,易扩展省。
EFK-fluentd抓取日志发送到es
weixin_49319422的博客
12-02 3507
1.EFK介绍 ELK是三个开源软件的缩写,分别表示:Elasticsearch,Logstash,Kibana。新增了一个FlieBeat,它是一个轻量级的日志收集处理工具,FlieBeat占用资源少,适用于在各个服务器上搜集日之后,传输给Logstash。 Elasticsearch:开源分布式搜索引擎,提供搜集,分析,缓存数据三大功能,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负 载等。 Logstash 主要是用来日志的搜集、分析、过
k8s搭建fluentd+ES
热门推荐
liuhehe的博客
08-16 1万+
原理分析: 1.安装服务: fluentd 安装 https://github.com/heheliu321/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch 创建configmap资源(key --filename) 修改fluentd-es-configmap.yaml中的es地址,其他不用动 out...
k8s笔记10--fluentd收集k8s集群日志es
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
07-18 4581
k8s笔记10--fluentd收集k8s集群日志es1 介绍2 采集方案3 注意事项4 说明 1 介绍 2 采集方案 3 注意事项 4 说明
使用fluentd作为docker日志驱动收集日志
lypgcs的博客
02-16 2138
前言 docker默认的日志驱动是json-file,每一个容器都会在本地生成一个/var/lib/docker/containers/containerID/containerID-json.log,而日志驱动是支持扩展的,本章主要讲解的是Fluentd驱动收集docker日志. Fluentd是用于统一日志记录层的开源数据收集器,是继Kubernetes、Prometheus、Envoy 、C...
Elasticsearch+Fluentd+Kafka搭建日志系统
01-20
日志管理领域,传统的ELK(Elasticsearch, Logstash, Kibana)堆栈正逐渐被EFK(Elasticsearch, Fluentd, Kafka)所取代,原因是Logstash在处理大量日志时可能消耗过多内存,而Fluentd在轻量级日志收集方面表现更...
Fluentd Docker 日志收集工具
09-20 872
运行 fluent-bit。启动 fluent-bit。
【EFK】k8s部署ElasticSearch+Fluentd+Kibana进行日志收集
Marcos921的博客
01-20 1050
通过结合Elasticsearch的存储和搜索功能、Fluentd的采集和处理功能以及Kibana的展示和分析功能,开发者可以实现日志收集、存储、搜索、分析和可视化。在子配置文件中设置时间戳格式,并在子配置文件中定义使用kubernetes插件,根据日志中的pod信息查对应k8s信息,并在日志中增加k8s信息,并配置logstash格式输出。编写yaml创建ES的Service,使用有状态应用StatefulSet创建ES集群,使用NFS做PV,存储ES数据到PV中。Kibana版本:7.2.0。
在k8s上安装fluentd收集日志
weixin_34296641的博客
06-07 5655
fluentd用于收集k8s容器中的日志收集后的日志写入es中,我的es直接搭建在服务器上,要经过多方测试再决定是否要将es放在k8s上;fluentd-es-configmap.yaml:此文件为fluentd配置文件kind:ConfigMap apiVersion:v1 metadata: name:fluentd-es-config-v0.2.0 n...
fluentd+filebeat
07-09
fluentd+filebeat技术资料分享,欢迎大家交流,指正错误
K8S部署EFK(fluentd收集日志
qq_39746321的博客
03-19 2900
部署EFK日志收集系统,收集K8S对应pod的日志
Nginx容器日志收集方案fluentd+elasticsearch+kilbana
weixin_33757609的博客
07-18 410
容器技术在发展到今天已经是相当的成熟,但容器不同于虚拟机,我们在使用容器的同时也有很多相关的技术问题需要解决,比如:容器性能监控,数据持久化,日志监控与分析等。我们不能像平时使用虚拟机一样来管理容器,本文我将给大家带来fluentd+elasticsearch+kilbana容器日志收集方案。我们将通过容器fluentd日志驱动将系统内产生的日志发送给fluentd服务...
k8s笔记11--基于fluentd-kafka-es日志收集方案
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
07-18 3342
k8s笔记11--基于fluentd-kafka-es日志收集方案1 介绍2 采集方案2.1 新建配置模板和rollover索引2.2 配置&部署fluentd2.3 新增 kafka 任务,按要求过滤日志到子topic2.4 配置logstash消费日志,并写入到对应索引中2.5 新建index pattern,查看日志3 注意事项4 说明 1 介绍 本文通过 fluentd 采集 k8s 指定 ns 的日志到kafka,然后按需过滤掉一些字段到子topic,最后通过logstash消费子top
Tomcat容器日志收集方案fluentd+elasticsearch+kilbana
weixin_33724059的博客
07-26 919
在上一遍博文中我们介绍了Nginx容器访问日志收集的方案,我们使用EFK的架构来完成对容器日志内应用日志收集,如果不知道什么是EFK架构,那么请访问以下链接获取相关的帮助Nginx容器日志收集方案fluentd+elasticsearch+kilbana 如果你已经认真阅读了上面的链接,并撑握了其用法,那么再来看本博文(针对于初学者),下面假设我们已经搭建好了上一讲所...
日志收集工具Fluentd使用总结
weixin_33868027的博客
04-17 2492
2019独角兽企业重金招聘Python工程师标准>>> ...
docker es持久化_docker卷、持久化和迁移
weixin_30385221的博客
02-06 527
容器中的数据与Host相互独立,随着容器的释放(删除),这些数据也将丢失.为了避免这个问题,Docker提供了数据卷(Volume)这个数据持久化工具.持久化后的数据,不会随着容易删除而丢失.概述试想这样一个场景,几年前我创建了一个mysql5.5的容器,几年后由于业务变动,需要升级到mysql5.6,这个时候需要登陆到容器里面,把mysql的表文件复制下来,再想办法迁移到新的mysql服务中.这...
基于Filebeat的替代方案之Fluentd
叱咤少帅的博客
11-15 6150
背景 目前我们的日志系统收集流为: Filbeat-->Logstash-->Python过滤器--->Kafka--->Consumer--->Kibana。 因为FIlebeat不支持http层的output 所以只能依赖Logstash。所以我们决定替换FIlbeat 用Fluentd 的output 到http,减少流经过中间服务。 Fluentd官网 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值