前文传送门:Logging with ElasticSearch, Kibana, ASP.NET Core and Docker

疑问:既然应用能直接向ElasticSearch写日志,为什么我们还需要Logstash,Fluentd等日志摄取器? 而且这些日志摄取器组件还成为日志收集的事实标准?

  1. 与成都大佬的沟通答疑:

  2. 最近读到的十二要素方法论第11点:Treat logs as event streams

A twelve-factor app never concerns itself with routing or storage of its output stream. It should not attempt to write to or manage logfiles. Instead, each running process writes its event stream, unbuffered, to stdout. During local development, the developer will view this stream in the foreground of their terminal to observe the app’s behavior.

总结:您的应用不应该关注日志的路由和存储(Elasticsearch / Graylog / ...),您的日志应该只输出到stdout,整个系统所有应用保持统一输出,由日志摄取器无侵入式收集

在具有多种服务的dockerized环境中,每个容器都是隔离的并拥有自己的日志,我们需要一个接口来收集这些日志。

Docker Logging Driver就是干这个的:每个docker守护程序都有一个日志驱动程序,所有容器的日志都会流经该驱动程序, Docker Logging Drive让我们具备处理、转发日志的能力。

Fluent Bit vs Fluentd

流行的库是Fluentd, 这是一个开源的日志收集、处理、聚合组件,使用Ruby开发。

Fluent-Bit是从同一项目中fok出来的,用C写成的开源日志收集器。

Fluentd Fluent Bit
Scope Containers / Servers Containers / Servers
Language C & Ruby C
Memory ~40MB ~450KB
Performance High Performance High Performance
Dependencies Built as a Ruby Gem, it requires a certain number of gems. Zero dependencies, unless some special plugin requires them.
Plugins More than 650 plugins available Around 50 plugins available
License Apache License v2.0 Apache License v2.0

下面我们使用轻量级的Fluent-bit向ElasticSearch发送容器日志。

可通过文件或者命令行配置Fluent-Bit,下面是关键的配置节:

  • Service: 定义Fluent-Bit引擎的全局行为
  • Input: 定义Fluent-Bit从什么地方收集数据
  • Parser: 将非结构化日志转换为结构化日志
  • Filter: 修改Input插件收集的传入数据
  • Output:定义Fluent Bit将数据输出到哪里

Fluent Bit as Docker Logging Driver

为收集、转发容器日志,我们需要将Fluent Bit设置为Docker Logging Driver。

  • 使用foward输入插件,监听Forward协议的转发消息
  • 要将日志转发到Elasticsearch,需设置es输出插件

fluent-bit.conf示例如下:

[SERVICE]

    log_level info

[INPUT]

    Name forward

    Listen 0.0.0.0

    port 24224

[OUTPUT]

    Name es

    Match **

    Host 127.0.0.1

    Port 9243

    # When Logstash_Format is enabled, the Index name is composed using a prefix and the date

    Logstash_Format True

    # HTTP_User <user>

    # HTTP_Passwd <pw>

    # Alternative time key, useful if your log entries contain an @timestamp field that is used by Elasticsearch

    # Time_Key es_time

    # If your Elasticsearch is using TLS, configure this

    # tls On

    # tls.verify Off

启动ES、Fluent-Bit和一个产生日志的测试项目:

version: "3.5"

services:

  elasticsearch:

    image: elasticsearch:7.6.2

    ports:

      - "9200:9200"

    environment:

      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"

      - discovery.type=single-node

  fluentbit:

    image: fluent/fluent-bit:1.5.3

    volumes:

      - type: bind

        source: ./fluent-bit.conf

        target: /fluent-bit/etc/fluent-bit.conf

    ports:

      - "24224:24224"

      - "24224:24224/udp"

    depends_on:

      - elasticsearch

  ubuntu:

    image: ubuntu

    command: [/bin/echo, "Dotnet Plus很干,值得关注!"]

    depends_on:

      - fluentbit

    logging:

      driver: fluentd

      options:

        tag: docker-ubuntu

其中注意:

  1. Fluent-Bit容器外挂pipeline配置文件
  2. Fluentd和Fluent Bit均使用fluentd作为Docker Logging Driver。

检查ElasticSearch中的日志

curl localhost:9200/_cat/indices

yellow open logstash-2020.08.22 vqoyvKE4SFCcJtfo6BRmQg 1 1 1 0 6.2kb 6.2kb

 curl localhost:9200/logstash-2020.08.22/_search?pretty=true&q={'matchAll':{''}}


{

  "took" : 4,

  "timed_out" : false,

  "_shards" : {

    "total" : 1,

    "successful" : 1,

    "skipped" : 0,

    "failed" : 0

  },

  "hits" : {

    "total" : {

      "value" : 1,

      "relation" : "eq"

    },

    "max_score" : 1.0,

    "hits" : [

      {

        "_index" : "logstash-2020.08.22",

        "_type" : "_doc",

        "_id" : "z0WsFnQBU8QzIbCaBXGY",

        "_score" : 1.0,

        "_source" : {

          "@timestamp" : "2020-08-22T14:56:33.000Z",

          "log" : "Dotnet Plus很干,值得关注!",

          "container_id" : "e921435eb7b8dc61bbb8e938bf67cea2694e2afd699ca71c4ef5b6d7cca12e34",

          "container_name" : "/ef_ubuntu_1",

          "source" : "stdout"

        }

      }

    ]

  }

}

docker应用仅使用stdout,docker logging driver将日志转发至Fluent-Bit,Fluent-Bit将它们转发给Elasticsearch。

小编结束语

以上就是利用Fluent-Bit从容器应用收集日志并发送到ElasticSearch的基本示例。

我们再回顾下Fluent-Bit产生的背景和特性:

如今,我们环境中的信息源在不断增加,数据收集越来越复杂,需要解决

  • 不同的信息来源
  • 不同的数据格式
  • 数据可靠性
  • 安全
  • 灵活的路由
  • 多个目的地

Fluent-Bit旨在成为日志收集和加工的通用瑞士军刀, 同时Fluent Bit在设计时考虑了性能和低资源消耗。

为什么我们需要Logstash,Fluentd等日志摄取器?的更多相关文章

  1. Logstash,Fluentd, Logtail对比伤害

    摘要: 针对主流日志采集客户端(Logstash,Fluentd,以及日志服务客户端Logtail)进行功能.性能和稳定性测评 日志收集的场景 DT时代,数以亿万计的服务器.移动终端.网络设备每天产生 ...

  2. 使用ELK(Elasticsearch + Logstash + Kibana) 搭建日志集中分析平台实践--转载

    原文地址:https://wsgzao.github.io/post/elk/ 另外可以参考:https://www.digitalocean.com/community/tutorials/how- ...

  3. logstash收集syslog日志

    logstash收集syslog日志注意:生产用syslog收集日志!!! 编写logstash配置文件 #首先我用rubydebug测试数据 [root@elk-node1 conf.d]# cat ...

  4. Filebeat+Kafka+Logstash+ElasticSearch+Kibana 日志采集方案

    前言 Elastic Stack 提供 Beats 和 Logstash 套件来采集任何来源.任何格式的数据.其实Beats 和 Logstash的功能差不多,都能够与 Elasticsearch 产 ...

  5. Centos6.5使用ELK(Elasticsearch + Logstash + Kibana) 搭建日志集中分析平台实践

    Centos6.5安装Logstash ELK stack 日志管理系统 概述:   日志主要包括系统日志.应用程序日志和安全日志.系统运维和开发人员可以通过日志了解服务器软硬件信息.检查配置过程中的 ...

  6. logstash采集tomcat日志、mysql错误日志

    input{ file { path => "/opt/Tomcat7.0.28/logs/*.txt" start_position => "beginni ...

  7. logstash收集rsyslog日志

    (1)rsyslog配置 在192.168.1.31配置 #vim /etc/rsyslog.conf *.* @@192.168.1.32:514 //所有设备名,所有日志级别都发送到192.168 ...

  8. Elasticsearch+Logstash+Kibana搭建日志平台

    1 ELK简介 ELK是Elasticsearch+Logstash+Kibana的简称 ElasticSearch是一个基于Lucene的分布式全文搜索引擎,提供 RESTful API进行数据读写 ...

  9. 日志分析平台ELK之日志收集器logstash

    前文我们聊解了什么是elk,elk中的elasticsearch集群相关组件和集群搭建以及es集群常用接口的说明和使用,回顾请查看考https://www.cnblogs.com/qiuhom-187 ...

随机推荐

  1. python---filecmp 实现文件,目录,遍历子目录的差异对比功能。

    python---filecmp ilecmp可以实现文件,目录,遍历子目录的差异对比功能. 自带filecmp模块,无需安装. 常用方法说明 filecmp提供3个操作方法,cmp(单文件对比),c ...

  2. scrapy中选择器用法

    一.Selector选择器介绍 python从网页中提取数据常用以下两种方法: lxml:基于ElementTree的XML解析库(也可以解析HTML),不是python的标准库 BeautifulS ...

  3. Webpack 原理浅析

    作者: 凹凸曼 - 风魔小次郎 背景 Webpack 迭代到4.x版本后,其源码已经十分庞大,对各种开发场景进行了高度抽象,阅读成本也愈发昂贵.但是为了了解其内部的工作原理,让我们尝试从一个最简单的 ...

  4. Developer 转型记:一个开发平台的“魔力”

    摘要:开发者该如何借助AI技术,探索可沉淀的落地应用?在这AI技术浪潮下,实现完美的应用创新?我们一起来听听他的故事…… 随着政策的加持.技术快速的迭代,人工智能热潮正在蔓延.2020年,AI落地大考 ...

  5. python小题目汇总

    1.编程计算两个日期之间的天数与周数 Python时间处理---dateutil模块: dateutil模块主要有两个函数,parser和rrule. 其中parser是根据字符串解析成datetim ...

  6. PHP get_defined_vars() 函数

    get_defined_vars() 函数返回由所有已定义变量所组成的数组. 版本要求:PHP 4 >= 4.0.4, PHP 5, PHP 7高佣联盟 www.cgewang.com 语法 a ...

  7. luogu P4724 模板 三维凸包

    LINK:三维凸包 一个非常古老的知识点.估计也没啥用. 大体上了解了过程 能背下来就背下来吧. 一个bf:暴力枚举三个点 此时只需要判断所有的点都在这个面的另外一侧就可以说明这个面是三维凸包上的面了 ...

  8. syslog协议及rsyslog服务全解析

    背景:需求来自于一个客户想将服务器的日志转发到自己的日志服务器上,所以希望我们能提供这个转发的功能,同时还要满足syslog协议. 一.什么是syslog协议 1.介绍(略) 2.syslog标准协议 ...

  9. python7.3客户端、服务端的建立

    import socket #创建客户端client=socket.socket() #生成socket连接对象client.connect("localhost",6969) # ...

  10. 解决org.apache.ibatis.binding.BindingException: Invalid bound statement (not found)...

    在IDEA中将xxxMapper.xml文件创建在(src/main/java)目录中,运行报错:org.apache.ibatis.binding.BindingException: Invalid ...