Как получить журналы аудита, файловых и метрических показателей в кластере Kubernetes с помощью стека EFK?

Я пытаюсь собрать вместе журналы аудита, файловых и метрических показателей, используя Fluentd в панели управления Kibana моего кластера kubernetes. Я могу получить журнал аудита, файла и метрики отдельно в виде конкретных индексов, таких как filebeat- , auditbeat- и metricbeat- * на моей панели инструментов Kibana.

Кто-нибудь может мне предложить? Есть ли возможность получить указанные выше 3 типа логов в одном индексе?


kubernetes kibana fluentd
person gayathri    schedule 05.11.2018    source источник
comment
вместо этого отправьте их в logstash и настройте logstasht, чтобы создать единый шаблон индекса для журналов   -  person Ijaz Ahmad Khan    schedule 05.11.2018
comment
Зачем объединять 3 разных такта в один индекс? Это приведет к увеличению количества полей и потенциально вызовет проблемы с отображением, если одно и то же имя поля имеет разные типы данных в разных битах. Если это просто для получения данных, вы всегда можете использовать подстановочный знак в своем шаблоне доступа или определить псевдоним, указывающий на несколько индексов.   -  person xeraa    schedule 12.11.2018

Ответы (1)


arrow_upward
1
arrow_downward

Да, если вы говорите о стеке EFK, а не о стеке ELK. В ваших конфигах Fluentd может быть что-то вроде этого:

<match *.**>
  type copy
  <store>
    type elasticsearch
    host localhost
    port 9200
    include_tag_key true
    tag_key @log_name
    logstash_format true
    flush_interval 10s
    index_name fluentd.common.%Y%m%d
  </store>
</match>

Все они будут иметь один и тот же индекс fluentd.common.%Y%m%d, а не index_name fluentd.${tag}.%Y%m%d.

person Rico    schedule 05.11.2018
comment
Если вам нужна информация о модуле, развертывании и т. Д., Prometheus - лучшее решение, но это другой вопрос. EFK больше подходит для бревен. - person Rico; 05.11.2018
comment
Привет, Рико, спасибо за быстрый ответ. извините за путаницу. да, я говорю об EFK. Вот ссылка github.com/kubernetes/kubernetes/tree/ master / cluster / addons /, за которым я следил. Я могу получить журналы модулей kubernetes, но не могу получить информацию о событиях, например о том, что модули, наборы с отслеживанием состояния и развертывания были созданы (или) обновлены (или) удалены. Я включил конфигурацию аудита во время инициализации кластера kubeadm. Нужно ли запускать демоны аудита, filebeat и metric beat поверх моего кластера kubernetes? - person gayathri; 05.11.2018
comment
Это действительно зависит от того, что вы пытаетесь делать с этими инструментами. (filebeat, metricbeat) - person Rico; 06.11.2018
comment
Хорошо, не могли бы вы посоветовать мне получить журналы аудита кластера Kubernetes с помощью fluentd? - person gayathri; 06.11.2018
comment
Прочтите об этом: kubernetes.io/docs/tasks/debug-application- кластер / аудит - person Rico; 07.11.2018
comment
Я уже через это прошел. Нужно ли запускать набор демонов аудита или он автоматически получает журналы? - person gayathri; 07.11.2018
comment
Не совсем, вы также можете использовать беглую коляску или простую tail коляску: kubernetes.io/ документы / концепции / администрирование кластера / ведение журнала - person Rico; 07.11.2018
comment
Спасибо, Рико. Я постараюсь сообщить вам. - person gayathri; 07.11.2018