当前位置: 首页 > article >正文

【ELK】Filebeat采集Docker容器日志

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

  • 介绍
    • filebeat是如何工作的
  • 使用
    • 部署filebeat


介绍

  • Filebeat 是一个用于转发和集中日志数据的轻量级传送器。

  • Filebeat 作为agent安装在服务器上,监视指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash进行索引。

  • Filebeat 的工作原理如下:当启动 Filebeat 时,它会启动一个或多个input查找指定的日志数据位置。对于 Filebeat 找到的每个日志,Filebeat 都会启动一个harvester。每个harvester都会读取单个日志以获取新内容,并将新日志数据发送到 libbeat,libbeat 会聚合事件并将聚合数据发送到您为 Filebeat 配置的输出。

    在这里插入图片描述

filebeat是如何工作的

Filebeat 由两个主要组件组成:inputharvester。这些组件协同工作来跟踪文件并将事件数据发送到指定的output

什么是harvester:

  1. harvester负责读取单个文件的内容。
  2. harvester逐行读取每个文件,并将内容发送到输出。
    每个文件启动一个harvester。
  3. harvester负责打开和关闭文件,这意味着harvester运行时文件描述符保持打开状态。

什么是input:

  1. input负责管理harvester并查找所有可供读取的源。

  2. 如果input类型为log,则input会查找驱动器上与定义的全局路径匹配的所有文件,并为每个文件启动harvester。每个input都在自己的 Go 协程中运行。

  3. 以下示例将 Filebeat 配置为从与指定 glob 模式匹配的所有日志文件中收集行:

    
    filebeat.inputs:
    - type: log
      paths:
        - /var/log/*.log
        - /var/path2/*.log
    

不同的harvester goroutine采集到的日志数据都会发送至一个全局的队列queue中,filebeat默认启用的是基于内存的缓存队列。

每当队列中的数据缓存到一定的大小或者超过了定时的时间(默认1s),会被注册的client从队列中消费,发送至配置的后端。目前可以设置的client有kafka、elasticsearch、redis等。

使用

部署filebeat

  1. 上传压缩包

    在这里插入图片描述

  2. 解压

    tar xf filebeat-8.9.0.linux-amd64.tar.gz
    

    在这里插入图片描述

  3. 配置

    ## filebeat.yml
    # ============================== Filebeat input ==============================
    filebeat.inputs:
    - type: container
      stream: all
      paths: 
      - /data/docker/containers/*/*.log
      format: docker
      fields:
      multiline:
        # 做多行日志聚合,此处是针对java的异常堆栈信息聚合(所有非年-月-日开头的日志会被聚合到最开始匹配到的那一行展示)
        type: pattern
        pattern: '^\d+.\d+.\d+|^\d+.\w{3}.\d+'
        negate: true
        match: after  
      
      processors:
      - add_docker_metadata:  # 添加当前主机的信息,包括 os、hostname、ip 等
          host: "unix:///var/run/docker.sock"
      - add_docker_metadata: ~  # 如果存在 Docker 环境,则自动添加容器、镜像的信息。默认将 labels 中的点 . 替换成下划线 _
    
    # ============================== Filebeat modules ==============================
    
    filebeat.config.modules:
      path: ${path.config}/modules.d/*.yml
      reload.enabled: false
      #reload.period: 10s
    
    # ======================= Elasticsearch template setting =======================
    setup.template.settings:
      index.number_of_shards: 1
    output.elasticsearch:
      # Array of hosts to connect to.
    
      hosts: ["http://172.21.105.64:19200"]
    
      # Protocol - either `http` (default) or `https`.
      protocol: "http"
    
      # Authentication credentials - either API key or username/password.
      #api_key: "id:api_key"
      username: "elastic"
      password: "qianyue@2021#"
      ssl.verification_mode: "none"  
    
  4. 配置系统服务

    # cat /usr/lib/systemd/system/auto_agent_filebeat.service
    [Unit]
    Description=filebeat
    Wants=network-online.target
    After=network-online.target
    
    [Service]
    User=root
    WorkingDirectory=/home/auto-op-mgr/auto_agent/app/auto_agent_filebeat
    ExecStart=/home/auto-op-mgr/auto_agent/app/auto_agent_filebeat/filebeat -e --strict.perms=false  -c /home/auto-op-mgr/auto_agent/app/auto_agent_filebeat/filebeat.yml
    # 设置为掉线自动重启,进程强制杀掉后会自动重新启动
    Restart=always
    
    [Install]
    WantedBy=multi-user.target
    

http://www.kler.cn/a/443297.html

相关文章:

  • python无需验证码免登录12306抢票 --selenium(2)
  • 【Arm】Arm 处理器的半主机(semihosting)机制
  • Linux下文件重定向
  • Web应用安全-漏洞扫描器设计与实现
  • 【漏洞工具】小米路由器任意文件读取漏洞python图形化框架利用工具(poc|exp)
  • 快速入门Spring Cloud Alibaba,轻松玩转微服务
  • 华为数通最新题库 H12-821 HCIP稳定过人中
  • LeetCode1143. 最长公共子序列(2024冬季每日一题 36)
  • barin.js(十四)GRU实战教程 - 文本情感分析之有害内容检测
  • 霍尔传感器在VR虚拟现实技术上的应用
  • Facebook 与数字社交的未来走向
  • 数据科学与SQL:如何利用本福特法则识别财务数据造假?
  • C++实现最大字段和
  • 简易分页制作
  • 大数据分析案例-基于XGBoost算法构建笔记本电脑价格预测模型
  • 【JAVA】JAVA接口公共返回体ResponseData封装
  • 点击展示大图预览
  • 易语言OCR证件照文字识别
  • 在 Mac M1 上使用 Docker 运行 Jenkins
  • [IT项目管理]九.项目质量管理
  • 联表查询相关语法
  • 梯度(Gradient)和 雅各比矩阵(Jacobian Matrix)的区别和联系:中英双语
  • rabbitMq的status报错Error: unable to perform an operation on node ‘rabbit……
  • WebRTC搭建与应用(一)-ICE服务搭建
  • DevExpress WinForms中文教程:Grid View - 如何实现固定列?
  • AndroidStudio XML不识别自定义控件