kubernetes中使用ELK进行日志收集

目录

一、需要收集哪些日志

1、kubernetes集群的系统组件日志

2、应用日志

二、日志收集方案ELK

1、收集日志:Logstash

2、存储日志:Elasticsearch

3、展示日志:Kibana

三、安装elk

1、下载安装包

2、创建用户并切换到新用户

3、上传安装包到用户目录

4、安装配置jdk

5、安装Elasticsearch

6、安装kibana

7、安装Logstash

四、采集k8s系统组件日志

[1、编辑资源清单文件 k8s-logs.yaml](#1、编辑资源清单文件 k8s-logs.yaml)

2、创建资源

3、修改Logstash的配置文件,并重启

4、配置Kinba查看日志

[4.1 访问页面](#4.1 访问页面)

[4.2 按顺序输入点击查看](#4.2 按顺序输入点击查看)

[4.3 点击discovery查看日志](#4.3 点击discovery查看日志)

五、采集应用日志

1、创建"filebeat-nginx-configmap.yaml"文件配置FileBeat参数

2、创建"nginx-deployment.yaml"文件部署Nginx应用

[3、执行"kubectl apply -f" 命令](#3、执行“kubectl apply -f” 命令)

4、修改Logstash的配置文件,并重启

5、访问Kibana页面,查看日志


一、需要收集哪些日志

1、kubernetes集群的系统组件日志

我们这里底层的容器引擎使用的是Docker,且宿主机上的systemd服务可用。因此,我们这里k8s集群系统的日志文件在宿主机的"/var/log"目录下

2、应用日志

在kubernetes集群中部署的应用(如tomcat、nginx)在运行过程中产生的日志

二、日志收集方案ELK

Elasticsearch + Logstash + Kibana

1、收集日志:Logstash

是一个数据实时传输管道:能够将数据实时地从输入端传输到输出端,还能够根据实际的需求在传输过程中加入过滤器来筛选数据。在日志系统中,常被作为日志采集工具使用

2、存储日志:Elasticsearch

是一个开源的全文搜索和分析引擎:能够快速地存储、搜集和分析数据。可以被看成一个非关系型数据库。在日志系统中,常被作为存储和搜索日志的工具使用。

3、展示日志:Kibana

开源的分析与可视化平台。在日志系统中,常作为Elasticsearch的输出端使用。用户可以使用Kibana搜索、查看Elasticsearch中的数据,并以不同的方式(如图表、表格、地图等)进行展现。

三、安装elk

下面将Elasticsearch、Logstash、Kibana都安装在master节点上。

在安装与配置ELK时,建议不要使用root用户,可以创建一个普通用户来进行

1、下载安装包

链接:https://pan.baidu.com/s/1iuN7HZU1kg1Kv55WW1q-Jg

提取码:4ns0

2、创建用户并切换到新用户

elk/elk

[root@k8s-master ~]# useradd elk

[root@k8s-master ~]# passwd elk

更改用户 elk 的密码 。

新的 密码:

重新输入新的 密码:

passwd:所有的身份验证令牌已经成功更新。

3、上传安装包到用户目录

4、安装配置jdk

#解压jdk包

[elk@k8s-master ~]$ tar -zxvf jdk-8u401-linux-x64.tar.gz

#编辑"~/.bash_profile" 追加如下内容:

JAVA_HOME=/home/elk/jdk1.8.0_401

export JAVA_HOME

PATH=JAVA_HOME/bin:PATH

export PATH

#生效文件

[elk@k8s-master ~]$ source ~/.bash_profile

5、安装Elasticsearch

#解压Elasticsearch

[elk@k8s-master ~]$ tar -zxvf elasticsearch-6.8.7.tar.gz

#启动Elasticsearch

[elk@k8s-master ~]$ elasticsearch-6.8.7/bin/elasticsearch &

#测试是否启动成功

[elk@k8s-master ~]$ curl localhost:9200

如下,Elasticsearch启动成功

6、安装kibana

#解压安装包

[elk@k8s-master ~]$ tar -zxvf kibana-6.8.7-linux-x86_64.tar.gz

#编辑kibana-6.8.7-linux-x86_64/config/kibana.yml 文件


server.port: 5601

需要写成master节点的IP地址

server.host: "172.19.3.240"

elasticsearch.hosts: ["http://localhost:9200"]


#启动Kibana

[elk@k8s-master ~]$ kibana-6.8.7-linux-x86_64/bin/kibana &

输出如下信息启动成功

访问控制台

7、安装Logstash

解压logstash

[elk@k8s-master ~]$ tar -zxvf logstash-6.8.7.tar.gz

#启动命令

[elk@k8s-master ~]$ cd logstash-6.8.7/

[elk@k8s-master logstash-6.8.7]$ bin/logstash -f config/logstash.conf &

四、采集k8s系统组件日志

**方式一:node节点上部署专门的日志收集程序。**在node节点上部署一个日志收集代理来收集该节点的日志信息。为了保证每个node节点都能够运行这样一个代理,可以采用DaemonSet方式来运行代理。如上图所示:将宿主机的容器日志挂载到DaemonSet中,然后由日志收集代理将日志转发到后端的日志收集系统ELK中

1、编辑资源清单文件 k8s-logs.yaml

复制代码
apiVersion: v1
kind: ConfigMap
metadata:
  name: k8s-logs-filebeat-config
  namespace: kube-system
data:
  filebeat.yml: |-
    filebeat.prospectors: 
      - type: log
        paths:
          - /messages # filebeat中的日志位置
        fields: # 给日志打的2个标签
          app: k8s
          type: module
        fields_under_root: true
    output.logstash: # filebeat中日志给logstash
      hosts: ['172.19.3.240:5044']
---
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: k8s-logs
  namespace: kube-system
spec:
  selector:
    matchLabels:
      project: k8s
      app: filebeat
  template:
    metadata:
      labels:
        project: k8s
        app: filebeat
    spec:
      containers:
      - name: filebeat
        image: collenzhao/filebeat:6.5.4
        args: [
          "-c","/etc/filebeat.yml"
        ]
        resources:
          requests:
            cpu: 100m
            memory: 100Mi
          limits:
            cpu: 500m
            memory: 500Mi
        securityContext:
          runAsUser: 0
        volumeMounts:
        - name: filebeat-config
          mountPath: /etc/filebeat.yml
          subPath: filebeat.yml
        - name: k8s-logs  # 采集宿主机/var/log/messages 到filebeat容器中 /messages中
          mountPath: /messages   
      volumes:
      - name: k8s-logs
        hostPath:
          path: /var/log/messages
          type: File
      - name: filebeat-config
        configMap:
          name: k8s-logs-filebeat-config

2、创建资源

[K8S@k8s-master k8s-log]$ kubectl apply -f k8s-log.yaml

configmap/k8s-logs-filebeat-config created

daemonset.apps/k8s-logs created

查看启动成功

3、修改Logstash的配置文件,并重启

根据需求,将filebeat中指定fields字段分类传给Elasticsearch

[elk@k8s-master ~]$ cat logstash-6.8.7/config/logstash.conf

Sample Logstash configuration for creating a simple

Beats -> Logstash -> Elasticsearch pipeline.

input {

beats {

port => 5044

}

}

output {

if [app] == "k8s" { # filebeat中的field字段

if [type] == "module" {

elasticsearch {

hosts => ["http://localhost:9200"]

index => "k8s-log-%{+YYYY.MM.dd}" #打包到日志名称到elasticsearch中

}

}

}

}

重启Logstash

[elk@k8s-master ~]$ cd logstash-6.8.7/

[elk@k8s-master logstash-6.8.7]$ ./bin/logstash -f ./config/logstash.conf &

4、配置Kinba查看日志

4.1 访问页面

4.2 按顺序输入点击查看

4.3 点击discovery查看日志

点击message后边都add,会被添加到上边的Selected field中,可以方便我们查看日志

五、采集应用日志

方式二:Pod中增加专用的日志收集容器

核心是在每个运行应用的Pod中增加一个新的容器,该容器专门用于运行日志收集代理程序。应用可以通过数据卷的方式将日志挂碍到这个容器中,最终将日志转发到后端的日志收集系统ELK中

1、创建"filebeat-nginx-configmap.yaml"文件配置FileBeat参数

[K8S@k8s-master nginx]$ cat filebeat-nginx-configmap.yaml

apiVersion: v1

kind: ConfigMap

metadata:

name: filebeat-nginx-config

data:

filebeat.yml: |-

filebeat.prospectors:

  • type: log

paths:

  • /usr/local/nginx/logs/access.log # filebeat中日志文件位置

fields: # 给日志文件的标签

app: nginx
type: nginx-access

fields_under_root: true

  • type: log

paths:

  • /usr/local/nginx/logs/error.log

fields: # 给日志文件的标签

app: nginx
type: nginx-error

fields_under_root: true

output.logstash:

hosts: ['172.19.3.240:5044']

2、创建"nginx-deployment.yaml"文件部署Nginx应用

[K8S@k8s-master nginx]$ cat filebeat-nginx-configmap.yaml

apiVersion: v1

kind: ConfigMap

metadata:

name: filebeat-nginx-config

data:

filebeat.yml: |-

filebeat.prospectors:

  • type: log

paths:

  • /usr/local/nginx/logs/access.log

fields:

app: nginx

type: nginx-access

fields_under_root: true

  • type: log

paths:

  • /usr/local/nginx/logs/error.log

fields:

app: nginx

type: nginx-error

fields_under_root: true

output.logstash:

hosts: ['172.19.3.240:5044']

[K8S@k8s-master nginx]$ cat nginx-deployment.yaml

apiVersion: v1

kind: Service

metadata:

name: nginx-test-service

spec:

type: NodePort

ports:

  • name: http

port: 80

protocol: TCP

selector:

app: nginx

type: nginx-demo


apiVersion: apps/v1

kind: Deployment

metadata:

name: nginx-demo

spec:

replicas: 2

selector:

matchLabels:

app: nginx

type: nginx-demo

template:

metadata:

labels:

app: nginx

type: nginx-demo

spec:

containers:

  • name: nginx

image: nginx

imagePullPolicy: IfNotPresent

volumeMounts:

  • name: nginx-logs

mountPath: /var/log/nginx

  • name: filebeat

image: collenzhao/filebeat:6.5.4

args: [

"-c", "/etc/filebeat.yml",

"-e",

]

volumeMounts:

  • name: filebeat-config

mountPath: /etc/filebeat.yml

subPath: filebeat.yml

  • name: nginx-logs

mountPath: /usr/local/nginx/logs

volumes:

  • name: nginx-logs # 通过临时数据卷,将nginx容器中日志挂在到filebeat容器中
    emptyDir: {}

  • name: filebeat-config

configMap:

name: filebeat-nginx-config

3、执行"kubectl apply -f" 命令

[K8S@k8s-master nginx]$ kubectl apply -f filebeat-nginx-configmap.yaml

[K8S@k8s-master nginx]$ kubectl apply -f nginx-deployment.yaml

查看应用启动成功,为了生成access.log文件,我们访问下应用即可 172.19.3.240:31535

4、修改Logstash的配置文件,并重启

[elk@k8s-master config]$ cat logstash.conf

Sample Logstash configuration for creating a simple

Beats -> Logstash -> Elasticsearch pipeline.

input {

beats {

port => 5044

}

}

output {

if [app] == "k8s" {

if [type] == "module" {

elasticsearch {

hosts => ["http://localhost:9200"]

index => "k8s-log-%{+YYYY.MM.dd}"

}

}

}
if [app] == "nginx" {
if [type]== "nginx-access" {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "nginx-access-%{+YYYY.MM.dd}"
}
}
if [type]== "nginx-error" {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "nginx-error-%{+YYYY.MM.dd}"
}
}

}

}

获取进程号,关闭进程

[elk@k8s-master config]$ ps -ef | grep logstash

elk 28634 34503 0 15:39 pts/1 00:00:00 grep --color=auto logstash

elk 61123 1 7 14:54 ? 00:03:28 /home/elk/jdk1.8.0_401/b..................................省略..........

#关闭进程

[elk@k8s-master config]$ kill -9 61123

#再次查看进程关闭

[elk@k8s-master config]$ ps -ef | grep logstash

elk 44799 34503 0 15:41 pts/1 00:00:00 grep --color=auto logstash

[elk@k8s-master config]$

启动logstash

[elk@k8s-master logstash-6.8.7]$ bin/logstash -f config/logstash.conf &

5、访问Kibana页面,查看日志

相关推荐
鸠摩智首席音效师12 分钟前
Docker 中如何限制CPU和内存的使用 ?
docker·容器
Michaelwubo20 分钟前
Docker dockerfile镜像编码 centos7
运维·docker·容器
好像是个likun1 小时前
使用docker拉取镜像很慢或者总是超时的问题
运维·docker·容器
暴富的Tdy3 小时前
【快速上手Docker 简单配置方法】
docker·容器·eureka
魏 无羡3 小时前
linux CentOS系统上卸载docker
linux·kubernetes·centos
Karoku0664 小时前
【k8s集群应用】kubeadm1.20高可用部署(3master)
运维·docker·云原生·容器·kubernetes
豆豆豆豆变4 小时前
docker之compose篇
docker·容器·自动化运维
凌虚5 小时前
Kubernetes APF(API 优先级和公平调度)简介
后端·程序员·kubernetes
saynaihe5 小时前
安全地使用 Docker 和 Systemctl 部署 Kafka 的综合指南
运维·安全·docker·容器·kafka
G_whang7 小时前
centos7下docker 容器实现redis主从同步
redis·docker·容器