Kubernetes 日志收集

原创 已于 2025-07-23 14:20:34 修改 · 686 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #日志监控系统 #ELK+Filebeat #EFK #Loki

于 2025-07-23 14:17:54 首次发布

目录

简介

一、哪些日志需要收集?

二、主流日志采集工具对比

1. ELK 与 EFK:传统日志平台的容器化演进

2. Filebeat:轻量级日志采集器

3. Loki:Kubernetes 原生轻量日志方案

三、案例:EFK 收集控制台日志

1. 环境准备

2. 部署步骤

(1)下载部署文件

(2)创建专用命名空间

(3)部署 Elasticsearch 集群

(4)部署 Kibana

(5)部署 Fluentd(日志采集)

3. 验证日志采集

(1)部署测试应用

(2)生成日志并查看

四、案例:Filebeat 收集自定义文件日志

1. 环境准备

2. 部署步骤

(1)安装 Helm

(2)部署 Kafka 和 Logstash

(3)部署应用与 Filebeat Sidecar

(4)验证日志流程

五、案例:Loki 日志系统

1. 部署步骤

(1)添加 Helm 仓库并下载 Chart

(2)部署 Loki Stack

(3)访问 Grafana 并查看日志

六、总结

简介

在 Kubernetes 集群中,日志是系统运行状态的 “晴雨表”,无论是故障排查、性能监控还是安全审计,都离不开高效的日志收集与分析能力。本文将介绍 Kubernetes 环境下的日志收集方案,从日志类型、工具选型到实战部署,助你构建完善的日志管理体系。

一、哪些日志需要收集?

在 Kubernetes 集群中,需重点收集的日志包括以下几类:

  1. 服务器系统日志:记录服务器硬件、操作系统(如 CPU、内存、磁盘)的运行状态,是排查底层问题的基础。
  2. Kubernetes 组件日志:如 kube-apiserver、kube-controller-manager 等核心组件的日志,反映集群控制平面的运行状态。
  3. 应用程序日志:容器化应用输出的业务日志,包括访问记录、错误信息等,是业务问题排查的关键。

此外,网关日志、服务调用链日志等也可能根据业务需求纳入采集范围。

二、主流日志采集工具对比

日志采集工具众多,选择时需结合资源消耗、功能适配性和运维复杂度综合考量。以下是主流工具的核心特性:

1. ELK 与 EFK:传统日志平台的容器化演进

  • ELK(Elasticsearch+Logstash+Kibana)
  • 组成:Logstash 负责日志采集与解析,Elasticsearch 存储,Kibana 可视化。
  • 优势:成熟稳定,适用于传统架构。
  • 缺陷:Logstash 资源消耗高(CPU / 内存占用大),配置复杂,不适合容器化环境。
  • EFK(Elasticsearch+Fluentd+Kibana)
  • 改进:用 Fluentd 替代 Logstash,轻量且配置简单,可直接采集控制台日志并输出到 Elasticsearch。
  • 局限:仅支持控制台日志采集,无法直接处理容器内的文件日志(需通过 Sidecar 容器转发,操作繁琐)。

2. Filebeat:轻量级日志采集器

  • 特性:基于 Go 语言开发,资源消耗极低(CPU / 内存可忽略),支持多种部署模式。
  • 适用场景
  • 以 Sidecar 模式与应用部署在同一 Pod 中,通过 Volume 共享日志文件,采集自定义文件日志。
  • 以 DaemonSet 模式部署在集群节点,采集系统日志或控制台日志。
  • 架构优化:通常与 Kafka(缓冲日志)、Logstash(日志处理)配合,减轻 Elasticsearch 压力。

3. Loki:Kubernetes 原生轻量日志方案

  • 核心优势
  • 不做全文索引,仅索引日志元数据(如 Pod 标签、命名空间),大幅降低存储和资源消耗。
  • 与 Prometheus 类似的服务发现机制,天然适配 Kubernetes,支持水平扩展和多租户。
  • 组成
  • Loki:日志存储与查询服务。
  • Promtail:日志采集代理,自动添加 Kubernetes 元数据(如 Pod 名、命名空间)。
  • Grafana:日志可视化界面(与 Loki 深度集成)。

三、案例:EFK 收集控制台日志

EFK 是 Kubernetes 官方推荐的控制台日志解决方案,以下是部署步骤及命令解析。

1. 环境准备

  • 前提:已安装 Kubernetes 集群(1.23+),节点可访问互联网(或使用离线包)。
  • 目标:部署 Elasticsearch 集群、Fluentd(日志采集)、Kibana(可视化),并验证日志采集功能。

2. 部署步骤

(1)下载部署文件
# 克隆GitHub仓库获取部署清单(离线环境可跳过,直接使用本地文件)
[root@k8s-master ~]# git clone https://github.com/dotbalo/k8s.git

解释:该仓库包含 EFK 部署所需的 YAML 配置文件,简化手动编写流程。

(2)创建专用命名空间
# 进入EFK配置目录
[root@k8s-master ~]# cd k8s/efk-7.10.2/
# 创建日志采集专用命名空间(隔离资源,便于管理)
[root@k8s-master efk-7.10.2]# kubectl create -f create-logging-namespace.yaml
namespace/logging created

解释:命名空间​​logging​​用于隔离日志相关组件(如 Elasticsearch、Fluentd),避免与业务资源冲突。

(3)部署 Elasticsearch 集群
# 创建Elasticsearch服务(暴露9200端口供Fluentd写入,9300端口供节点间通信)
[root@k8s-master efk-7.10.2]# kubectl create -f es-service.yaml
service/elasticsearch-logging created

# 部署Elasticsearch StatefulSet(有状态应用,保证集群稳定性)
[root@k8s-master efk-7.10.2]# kubectl create -f es-statefulset.yaml
statefulset.apps/elasticsearch-logging created

验证:检查 Pod 状态(​​Running​​表示部署成功):

[root@k8s-master efk-7.10.2]# kubectl get pod -n logging
NAME                      READY  STATUS  RESTARTS  AGE
elasticsearch-logging-0   1/1    Running 0         5m

端口说明

  • 9200:HTTP API 端口,供 Fluentd、Kibana 访问。
  • 9300:节点间通信端口,用于集群选举、分片同步等。
(4)部署 Kibana
# 部署Kibana Deployment和Service(NodePort类型,便于外部访问)
[root@k8s-master efk-7.10.2]# kubectl create -f kibana-deployment.yaml -f kibana-service.yaml

验证:查看服务端口(Kibana 默认端口 5601,通过 NodePort 暴露):

[root@k8s-master efk-7.10.2]# kubectl get svc -n logging
NAME              TYPE       PORT(S)          AGE
kibana-logging   NodePort   5601:32734/TCP   34m

访问方式:通过节点 IP + 暴露的端口(如​​http://192.168.10.101:32734​​)访问 Kibana 界面。

(5)部署 Fluentd(日志采集)
# 修改Fluentd部署文件,通过NodeSelector指定采集节点
[root@k8s-master efk-7.10.2]# grep "nodeSelector" fluentd-es-ds.yaml -A3
nodeSelector:
  fluentd: "true"  # 仅部署在标记为fluentd=true的节点

# 为目标节点添加标签
[root@k8s-master efk-7.10.2]# kubectl label node k8s-node01 fluentd=true
node/k8s-node01 labeled

# 部署Fluentd DaemonSet(每个目标节点运行一个实例)
[root@k8s-master efk-7.10.2]# kubectl create -f fluentd-es-ds.yaml -f fluentd-es-configmap.yaml

解释

  • NodeSelector 用于限制 Fluentd 部署范围,避免资源浪费。
  • ConfigMap 定义 Fluentd 配置,默认将日志输出到 Elasticsearch(通过​​elasticsearch-logging​​服务访问)。

3. 验证日志采集

(1)部署测试应用
# 创建Nginx Deployment和Service(生成访问日志)
[root@k8s-master efk-7.10.2]# cat <<EOF > nginx-service.yaml
apiVersion: v1
kind: Service
metadata:
  name: mynginx
  namespace: default
spec:
  type: LoadBalancer
  ports:
  - port: 80
    targetPort: 80
  selector:
    app: mynginx
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: mynginx-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: mynginx
  template:
    metadata:
      labels:
        app: mynginx
    spec:
      containers:
      - name: mynginx
        image: nginx:1.15.2
        ports:
        - containerPort: 80
EOF

# 部署应用
[root@k8s-master efk-7.10.2]# kubectl create -f nginx-service.yaml
(2)生成日志并查看
# 访问Nginx服务,触发日志输出
[root@k8s-master efk-7.10.2]# curl 192.168.10.101:32019  # 32019为Service暴露的端口

在 Kibana 中通过索引模式(如​​logstash-*​​)查看日志,验证采集结果。

四、案例:Filebeat 收集自定义文件日志

对于输出到文件的非云原生应用,需通过 Filebeat Sidecar 模式采集日志。以下是结合 Kafka 和 Logstash 的优化方案。

1. 环境准备

  • 工具:Helm(Kubernetes 包管理工具,简化 Zookeeper/Kafka 部署)。
  • 架构:Filebeat → Kafka(缓冲) → Logstash(处理) → Elasticsearch。

2. 部署步骤

(1)安装 Helm
# 下载并安装Helm客户端
[root@k8s-master ~]# wget https://get.helm.sh/helm-v3.6.2-linux-amd64.tar.gz
[root@k8s-master ~]# tar zxvf helm-v3.6.2-linux-amd64.tar.gz
[root@k8s-master ~]# mv linux-amd64/helm /usr/local/bin/
(2)部署 Kafka 和 Logstash
# 部署Zookeeper(Kafka依赖)
[root@k8s-master ~]# cd /root/efk-7.10.2/filebeat/
[root@k8s-master filebeat]# helm install zookeeper zookeeper/ -n logging

# 部署Kafka
[root@k8s-master filebeat]# helm install kafka kafka/ -n logging

# 部署Logstash(从Kafka消费日志并转发到Elasticsearch)
[root@k8s-master filebeat]# kubectl create -f logstash-service.yaml -f logstash-cm.yaml -f logstash.yaml -n logging
(3)部署应用与 Filebeat Sidecar
# 创建应用和Filebeat配置(通过Volume共享日志目录)
[root@k8s-master filebeat]# kubectl create -f filebeat-cm.yaml -f app-filebeat.yaml -n logging

关键配置说明

  • 应用容器将日志写入​​/opt/date.log​​​,通过​​emptyDir​​与 Filebeat 共享该目录。
  • Filebeat 配置从​​/opt/date.log​​读取日志,并输出到 Kafka。
(4)验证日志流程
# 查看应用日志文件内容
[root@k8s-master filebeat]# kubectl exec -it <app-pod-name> -n logging -- tail /opt/date.log

# 在Kibana中查看经过Logstash处理后的日志

五、案例:Loki 日志系统

Loki 适合追求轻量、低资源消耗的场景,以下是基于 Helm 的快速部署流程。

1. 部署步骤

(1)添加 Helm 仓库并下载 Chart
# 添加Grafana仓库(包含Loki相关Chart)
[root@k8s-master ~]# helm repo add grafana https://grafana.github.io/helm-charts
[root@k8s-master ~]# helm repo update

# 下载Loki Stack Chart
[root@k8s-master ~]# helm pull grafana/loki-stack --version 2.8.3
(2)部署 Loki Stack
# 创建命名空间
[root@k8s-master ~]# kubectl create ns loki

# 部署Loki、Promtail和Grafana(启用Grafana并暴露NodePort)
[root@k8s-master ~]# helm upgrade --install loki loki-stack \
  --set grafana.enabled=true \
  --set grafana.service.type=NodePort \
  -n loki
(3)访问 Grafana 并查看日志
# 查看Grafana服务端口
[root@k8s-master ~]# kubectl get svc -n loki
NAME           TYPE       PORT(S)          AGE
loki-grafana   NodePort   80:32734/TCP     2m40s

# 获取Grafana管理员密码(base64解码)
[root@k8s-master ~]# kubectl get secret loki-grafana -n loki -o jsonpath="{.data.admin-password}" | base64 --decode && echo

# 访问Grafana:http://<节点IP>:32734,登录后添加Loki数据源,使用查询语句过滤日志
# 示例:查询default命名空间下特定Pod的日志
{namespace="default", pod="mynginx-deployment-xxx"}

六、总结

Kubernetes 日志收集需根据场景选择工具:

  • 控制台日志优先选 EFK,配置简单但功能有限;
  • 文件日志推荐 Filebeat+Kafka+Logstash,兼顾轻量与扩展性;
  • 轻量、低成本需求首选 Loki,原生适配 Kubernetes 且资源消耗低。

日志系统的核心价值在于 “可观测性”,部署后需结合业务需求持续优化索引策略和存储方案,确保高效排查问题。

�FENG
关注
1、日志收集详解
xuebo1129927648的博客
05-31 191
日志收集是现代 IT 系统运维、安全和业务分析的基础,其核心是通过技术手段将分散的日志转化为可利用的 “数据资产”。随着云计算、大数据技术的发展,日志收集系统正朝着自动化、智能化、实时化方向演进,例如通过 AI 算法自动识别日志中的异常模式,进一步提升运维效率和决策准确性。不同日志收集系统的核心差异源于其设计目标(监控、分析、安全)和技术架构(分布式、云原生、单体)。选择时需平衡功能需求、技术成本和场景适配性,例如开源工具适合定制化需求,云服务适合快速落地,企业级方案适合合规性要求高的大型组织。
Kubernetes 日志收集方案
牧码杭城
02-06 1097
本文简单整理 Kubernetes 里关于容器应用日志的四种收集方式。 文章目录一、直接指定方案(app容器 - 后端)二、NodeAgent 方案(app容器 - [stdout/stderr] - NodeAgent - 后端)三、Sidecar + NodeAgent 方案(app容器 - Sidecar - [stdout/stderr] - NodeAgent - 后端)四、Si...
日志收集工具
03-21
logstash logstash logstash logstash logstash logstash
日志收集-Elk6
yaohong
03-31 290
日志收集-Elk6 一:前言 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasti...
日志收集
weixin_45020244的博客
03-31 614
elk 解决日志收集问题记录 整体架构 依赖服务安装&部分实现 一、安装Kafka 下载地址 https://mirrors.bfsu.edu.cn/apache/kafka/2.7.0/kafka_2.13-2.7.0.tgz https://mirrors.tuna.tsinghua.edu.cn/apache/kafka/2.7.0/kafka_2.13-2.7.0.tgz 参考wiki:https://blog.csdn.net/qq_39314099/article/details/997
10 kubernetes 日志收集流程简介、pod日志收集的几种方式
渐行渐远的博客
02-15 3751
elk以及kafka集群 环境准备 1.1 日志收集流程 1.2 elk集群准备 1.2.1 es集群环境准备 es版本为7.12https://www.elastic.co/cn/downloads/http://www.pingtaimeng.com/article/detail/id/2151994 7.12安装 1.2.1.1 准备java环境 yum install -y j...
Kubernetes日志收集解决方案.docx
10-26
总的来说,Kubernetes日志收集解决方案需要综合考虑日志来源、收集方式、存储架构以及数据分析需求。选择合适的工具和策略,以适应不同的业务场景,确保日志管理的有效性和效率。在实施过程中,应充分评估每个组件的...
kubernetes日志收集系统部署流程及踩坑记录
beanguys的博客
02-07 1232
kubernet下日志收集系统部署流程及踩坑填坑记录
Kubernetes日志采集与分析的最佳实践
02-14
Kubernetes日志采集与分析是当前容器化部署与运维中非常关键的一个环节,由于Kubernetes自身的分布式特性,使得日志管理变得更加复杂。本文分享了关于Kubernetes日志管理的最佳实践,由阿里云日志服务技术专家元乙...
K8S日志收集EFK
henanchenxuyuan的博客
09-03 1723
基于云原生 12 要素开发的程序,一般会将日志直接输出到控制台,并非是指定一个文件存储日志,这一点和传统架构还是有区别的。但是公司内的程序并非都是基于云原生要素开发的,比如一些年代已久的程序,这类程序如果部署至 Kubernetes 集群中,就需要考虑如何将输出至本地文件的日志采集到Elasticsearch。
k8s 应用日志收集
weixin_30421809的博客
05-18 493
[ ] 在进行日志收集的过程中,我们首先想到的是使用Logstash,因为它是ELK stack中的重要成员,但是在测试过程中发现,Logstash是基于JDK的,在没有产生日志的情况单纯启动Logstash就大概要消耗500M内存,在每个Pod中都启动一个日志收集组件的情况下,使用logstash有点浪费系统资源,经人推荐我们选择使用Filebeat替代,经测试单独启动Filebeat容器大...
收集日志
qfzhaohan的博客
11-09 256
日志管理的第一件事,就是日志收集日志收集是开发者必备的技巧,不管是哪个开发语言,哪个开发平台,日志收集的插件都是有很多选择的。例如: .net 平台大家钟爱的log4net,支持多种存储方式(文件、数据库),多种格式,多种日志拆分方式。 java 平台主流的log4j、slf4j、logback,多种选择。 日志收集的组件这里就不一一说明了,使用都是很简单的,这里重点说明一下,日志我们收集应该注意的地方: 1. 日志等级一定要规范 等级说明debug调试信息info用来收集关注的信息warn警
一个简单的日志收集
红尘一傻帽的专栏
03-20 693
随着系统节点越来越多, 看应用日志成为一个头疼的事情, 所以想做一个应用日志收集. 看了一下log4j的SocketAppender, 居然使用java 自带序列化, 还不提供server, 挺讨厌. 倒不如自己写一个. 系统需求如下: 聚合多台服务器日志无过大性能损耗近实时提供log4j和erlang客户端 简单用erlang实现了一个 server 地址 : https://
kubernetes中使用ELK进行日志收集
weixin_39941298的博客
04-29 3003
我们这里底层的容器引擎使用的是Docker,且宿主机上的systemd服务可用。因此,我们这里k8s集群系统的日志文件在宿主机的“/var/log”目录下。
日志收集系统
ALEX_CYL的博客
06-23 2763
a. 把机器上的日志实时收集,统一的存储到中心系统 b. 然后再对这些日志建立索引,通过搜索即可以找到对应日志 c. 通过提供界面友好的web界面,通过web即可以完成日志搜索a. 实时日志量非常大,每天几十亿条 b. 日志准实时收集,延迟控制在分钟级别 c. 能够水平可扩展4.1 ELK简介 通俗来讲,ELK是由Elasticsearch(弹性搜索引擎)、Logstash(日志收集)、Kibana(查看日志/可视化的web界面)三个开源软件的组成的一个组合体,ELK是elastic公司研发的一套完整的日志
企业级日志分析系统 ELK 详解
shenyuanhaojie的博客
11-19 2387
文章目录前言一、ELK 日志分析系统1. ELK 简介2. 组件说明2.1 ElasticSearch2.2 Logstash2.3 Kibana2.4 Filebeat3. 完整日志系统的基本特征4. ELK的工作原理二、部署 ELK 日志分析系统1. 服务器配置2. 关闭防火墙3. ElasticSearch集群部署(node1、node2)3.1 环境准备3.2 部署 ElasticSearch 软件3.2.1 安装 elasticsearch-rpm 包3.2.2 加载系统服务3.2.3 修改 el
k8s日志收集方案
weixin_30515513的博客
04-27 1253
                           k8s日志收集方案 三种收集方案的优缺点: 下面我们就实践第二种日志收集方案: 一、安装ELK 下面直接采用yum的方式安装ELK(源码包安装参考:https://www.cnblogs.com/Dev0ps/p/9309103.html)1.安装jdk yum install -y java 2.添加ELK源 ...
Kubernetes日志配置日志轮转
最新发布
07-05
Kubernetes 中配置日志轮转,主要依赖于 kubelet 的内置功能和容器运行时的日志管理机制。以下是一些关键的配置方式和注意事项: ### 1. **使用 stdout/stderr 输出日志** Kubernetes 原生支持将容器的标准输出(stdout)和标准错误输出(stderr)自动写入到节点上的日志文件中。推荐应用程序直接将日志输出到 stdout 和 stderr,而不是写入本地文件[^2]。这样可以避免额外的日志管理开销,并且 kubelet 会负责日志的轮转和保留。 默认情况下,kubelet 会将日志存储在 `/var/log/containers` 目录下,并根据 Pod 名称、容器名称和命名空间生成对应的日志文件。 --- ### 2. **配置日志轮转策略** Kubernetes 使用 Docker 或其他容器运行时作为底层引擎,因此日志轮转通常由容器运行时的配置控制。对于 Docker 来说,可以通过 `log-driver` 和 `log-opt` 参数来设置日志大小限制和轮转次数。 在节点上修改 Docker 的 daemon 配置文件(通常是 `/etc/docker/daemon.json`),添加如下内容: ```json { "log-driver": "json-file", "log-opts": { "max-size": "10m", "max-file": "3" } } ``` 此配置表示每个容器的日志文件最大为 10MB,最多保留 3 个历史日志文件。修改后需要重启 Docker 服务以应用更改。 --- ### 3. **通过边车容器实现日志轮转** 如果应用程序无法将日志输出到 stdout/stderr,或者需要更复杂的日志管理逻辑,可以考虑使用边车容器(sidecar container)。边车容器可以专门用于监控和处理主容器的日志文件,例如定期压缩或清理日志[^2]。 一个简单的例子是使用一个轻量级的容器运行 `logrotate` 工具,定期检查并轮转主容器的日志文件。这种方式适用于遗留系统或特定的日志格式需求。 --- ### 4. **使用 Fluentd 或 Logrotate 进行日志处理** Fluentd 是一种流行的日志收集工具,结合 `fluent-plugin-kubernetes_metadata_filter` 插件,可以自动为日志事件添加 Kubernetes 元数据,便于后续分析和过滤[^1]。Fluentd 可以部署为 DaemonSet,确保每个节点都有一个日志采集代理。 此外,也可以在容器内安装 `logrotate` 工具,配合 cron 定期执行日志轮转任务。需要注意的是,这种方案要求容器具备 root 权限,并且镜像中包含 `logrotate`。 --- ### 5. **日志性能优化** 不同日志驱动的性能差异较大,例如 syslog 日志驱动的吞吐量较低(约 14.9 MB/s),而 json-file 日志驱动的性能较高(约 37.9 MB/s)[^3]。因此,在选择日志驱动时,应根据实际需求评估性能瓶颈。 --- ### 示例:Docker Daemon 配置日志轮转 以下是一个完整的 Docker Daemon 配置示例,展示了如何启用日志轮转: ```json { "log-driver": "json-file", "log-opts": { "max-size": "10m", "max-file": "3" } } ``` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值