elasticsearch 如何使用EFK堆栈在kubernetes集群中获取审计、文件节拍和度量节拍日志?,elasticsearch,kubernetes,kibana,fluentd,elasticsearch,Kubernetes,Kibana,Fluentd" /> elasticsearch 如何使用EFK堆栈在kubernetes集群中获取审计、文件节拍和度量节拍日志?,elasticsearch,kubernetes,kibana,fluentd,elasticsearch,Kubernetes,Kibana,Fluentd" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 如何使用EFK堆栈在kubernetes集群中获取审计、文件节拍和度量节拍日志?

elasticsearch 如何使用EFK堆栈在kubernetes集群中获取审计、文件节拍和度量节拍日志?

kubernetes kibana

elasticsearch 如何使用EFK堆栈在kubernetes集群中获取审计、文件节拍和度量节拍日志?,elasticsearch,kubernetes,kibana,fluentd,elasticsearch,Kubernetes,Kibana,Fluentd,我正试图在kubernetes集群的Kibana仪表板中使用Fluentd将审计、文件节拍和度量节拍日志放在一起。我能够在我的Kibana仪表板中分别获取审计、文件节拍和度量节拍日志,作为特定索引,如filebeat-、auditbeat-和metricbeat-*等 有人能推荐我吗?是否有可能在单个索引中获取上述3种类型的日志 是的,假设您谈论的是EFK堆栈而不是麋鹿堆栈。在Fluentd配置中,您可以有如下内容: <match *.**> type copy <st

我正试图在kubernetes集群的Kibana仪表板中使用Fluentd将审计、文件节拍和度量节拍日志放在一起。我能够在我的Kibana仪表板中分别获取审计、文件节拍和度量节拍日志,作为特定索引,如filebeat-、auditbeat-和metricbeat-*等

有人能推荐我吗?是否有可能在单个索引中获取上述3种类型的日志

是的,假设您谈论的是EFK堆栈而不是麋鹿堆栈。在Fluentd配置中,您可以有如下内容:

<match *.**>
  type copy
  <store>
    type elasticsearch
    host localhost
    port 9200
    include_tag_key true
    tag_key @log_name
    logstash_format true
    flush_interval 10s
    index_name fluentd.common.%Y%m%d
  </store>
</match>


打印副本
类型弹性搜索
主机本地主机
端口9200
包含标记键为真
tag_key@log_name
logstash_格式为true
冲洗间隔10s
索引\u名称fluentd.common。%Y%m%d
它们都将转到同一个索引
fluentd.common.%Y%m%d
,而不是使用
index\u name fluentd.${tag}.%Y%m%d

将它们发送到logstash,并配置logstash为日志创建一个索引模式。为什么将3个不同的节拍组合到一个索引中?如果相同的字段名在不同的节拍中具有不同的数据类型,则它只会爆炸字段的数量,并可能导致映射问题。如果只是为了检索数据,您可以在访问模式中使用通配符或定义指向多个索引的别名。如果您想要pod、部署信息等,Prometheus是一个更好的解决方案,但这是另一个问题。EFK更适合日志。你好,Rico,谢谢你的快速回复。很抱歉给你带来了困惑。是的,我说的是EFK。这是我被跟踪的链接。我能够获取kubernetes吊舱的日志。但无法获取事件信息,如吊舱、有状态集和部署的创建(或)更新(或)删除。我在初始化kubeadm群集时启用了审核配置。有必要在我的kubernetes集群上运行audit、filebeat和metric beat守护程序吗?这取决于您试图使用这些工具做什么。(filebeat,metricbeat)好的,你能指导我使用fluentd获取kubernetes集群的审计日志吗?请阅读以下内容: