操作场景
日志服务 (Cloud Log Service, CLS)支持采集自建 K8S 集群上的日志,在进行日志采集前,需要在 K8S 自建集群上通过 CRD 定义日志采集配置(LogConfig),并部署安装 Log-Provisioner,Log-Agent,以及 LogListener。针对使用腾讯云容器服务(Tencent Kubernetes Engine ,TKE)的用户, 可参见 采集TKE K8S集群日志 文档,通过控制台快速接入并使用日志服务。
前提条件
1. 在自建 K8S 集群上安装部署好采集器 LogListener,安装 LogListener 请参见 自建 K8S 集群安装 LogListener。
2. 配置好相应的日志上报权限,权限配置请参见 使用自建 K8S 上传数据。
3. 已获取日志主题所在地域(region)。详细 CLS 地域列表请参见 可用地域 文档。
K8S 日志采集原理
K8S 集群上部署日志采集主要涉及 Log-Provisioner、Log-Agent、LogListener 三个组件和一个 LogConfig 采集配置。
LogConfig:日志采集配置,定义了日志在哪里被采集, 采集后如何解析, 以及解析后投递至哪个 CLS 日志主题中。
Log-Agent:监听 LogConfig 和节点上容器的变化, 动态计算容器中的日志文件在节点宿主机上的实际位置。
Log-Provisioner: 将 LogConfig 中定义日志采集配置信息同步至 CLS。
LogListener:采集节点宿主机上的相应日志文件内容,解析并上传至 CLS。
操作流程
2. 定义 LogConfig 对象
3. 创建 LogConfig 对象
操作步骤
步骤一: 自建 K8S 集群安装 LogListener
步骤二:定义 LogConfig 对象
通过 CRD 定义 LogConfig 对象中的日志采集配置。以 Master 节点路径/usr/local/为例,使用 wget 命令下载 LogConfig.yaml CRD 声明文件。
wget https://mirrors.tencent.com/install/cls/k8s/LogConfig.yaml
LogConfig.yaml 声明文件主要分为如下两部分:
clsDetail:日志采集配置。
inputDetail:日志源配置。
apiVersion: cls.cloud.tencent.com/v1kind: LogConfig ## 默认值metadata:name: test ## CRD资源名,在集群内唯一spec:clsDetail: ## 投递到CLS的配置...inputDetail: ## 日志源配置...
clsDetail(CLS 采集配置)字段说明
clsDetail:### 指定日志集和日志主题logsetName: test ## CLS日志集的name,非必填。若无该logsetName的日志集,会自动创建;若有,会在该日志集下创建日志主题topicName: test ## CLS日志主题的name,非必填。若在logsetName下没有该name的日志主题,会自动创建。## logsetName和topicName指定之后,不指定logsetId和topicId,会尝试自动创建日志主题;否则不会去创建topic。logsetId: xxxxxx-xx-xx-xx-xxxxxxxx ## CLS日志集的ID,非必填,topicId: xxxxxx-xx-xx-xx-xxxxxxxx ## CLS日志主题的ID,非必填。如果不填topicId,则必须填logsetName和topicName,并且会尝试去自动创建topic,并将创建后的topic的topicId填在该字段### 自动创建日志主题时,定义日志主题配置。 定义后不可修改,修改不生效period: 30 ## 非必填,生命周期,单位天,可取值范围1~3600,低频存储取值范围7~3600天;取值为3640时代表永久保存storageType: hot ## 非必填,日志主题的存储类型,可选值 hot(标准存储),cold(低频存储);默认为hot。hotPeriod: 7 ## 非必填,沉降周期,单位天。可取值范围7~3600。仅在storageType:hot时生效,hotPeriod需要大于period,沉降的周期为Period-hotPeriodpartitionCount: 1 ## 非必填,日志主题分区个数。默认创建1个,最大支持创建10个分区。autoSplit: "true" ## 非必填,是否开启自动分裂,默认值为true。值必须以双引号""包裹maxSplitPartitions: 50 ## 非必填,开启自动分裂后的最大分裂数量。默认值为50tags: ## 非必填,标签描述列表,通过指定该参数可以同时绑定标签到相应的日志主题。最大支持9个标签键值对,同一个资源只能绑定到同一个标签键下。- key: xxx ## 标签keyvalue: xxx ## 标签value### 定义采集规则logType: json_log ## 日志解析格式,json_log代表 json 格式,delimiter_log代表分隔符格式,minimalist_log代表单行全文格式,multiline_log代表多行全文格式,## fullregex_log代表单行完全正则格式,multiline_fullregex_log代表多行完全正则格式,user_define_log代表组合解析。默认为minimalist_logexcludePaths: ## 非必填,采集黑名单路径列表。 仅在inputDetail为containerFile或hostFile时生效- type: File ## 类型,选填File或Pathvalue: /xx/xx/xx/xx.log ## type 对应的值userDefineRule: xxxxxx ## 非必填,用户自定义采集规则,Json格式序列化的字符串### 提取、过滤规则extractRule: ## 非必填,提取、过滤规则。 如果设置了ExtractRule,则必须设置LogType,详情参考extractRule对象说明timeKey: xxx ## 时间字段的key名字,time_key和time_format必须成对出现timeFormat: xxx ## 时间字段的格式,参考c语言的strftime函数对于时间的格式说明输出参数delimiter: xxx ## 分隔符类型日志的分隔符,只有log_type为delimiter_log时有效logRegex: xxx ## 整条日志匹配规则,只有log_type为fullregex_log时有效beginningRegex: xxx ## 行首正则匹配规则,只有log_type为multiline_log或fullregex_log时有效keys: ## 取的每个字段的key名字,为空的key代表丢弃这个字段,只有log_type为delimiter_log时有- a- bfilterKeys: ## 与filterRegex要对应,filterKeys是数组,表示需要过滤的日志的key- a- bfilterRegex: ## 与filterKeys要对应,filterRegex是正则字符串数组,key对应的过滤规则regex。- aRegx- bRegxadvancedFilters: ## 高级过滤规则, 该字段仅适用于v1.1.15及以上的采集组件版本, 低于v1.1.15请使用filterKeys与filterRegex- key: level ## 需要过滤的Keyrule: 0 ## 过滤规则,支持的数值枚举为:0(等于),1(字段存在),2(字段不存在), 3(不等于)。value: info ## 需要过滤的值value。 其中当rule为1或2时, value无需指定。unMatchUpload: "false" ## 解析失败日志是否上传,true表示上传,false表示不上传。默认不上传unMatchedKey: "parseFailed" ## 解析失败的日志上传CLS的key名称backtracking: "-1" ## “-1”或者“0”,-1表示全量采集,0表示增量采集,其他大于0的数字表示增量采集模式下的回溯数据量.默认全量。isGBK: "true" ## "true"或者"false",默认"false"非jbkjsonStandard: "true" ## "true"或者"false",默认"true"标准json### 高级采集配置advancedConfig: ## 非必填ClsAgentMaxDepth: 1 ## 采集器采集最大目录深度,大于等于0的整数,0表示当前目录。ClsAgentFileTimeout: 60 ## 文件超时属性,即超过该指定时间的日志文件没有被修改,则采集器不在监控。 该参数需要大于等于0的整数,单位秒。0为不超时,全部采集。ClsAgentParseFailMerge: true ## 合并解析失败日志,取值范围: true或false### 创建 topic 时可自定义全文索引### 仅在自动创建日志主题时支持定义, 不支持修改已存在日志主题的索引fullTextIndex: ## 非必填,全文索引设置status: "on" ## 全文索引开关,如果不设置,则会默认打开全文索引;如果设置on打开,不设置其他参数,则caseSensitive和tokenizer都会是默认值;如果设置off关闭,则不打开全文索引tokenizer: "@&()='\\",;:<>[]{}/ \\n\\t\\r" ## 全文索引的分词符,如果全文索引开关打开,则必须设置tokenizer。可以设置为"@&()='\\",;:<>[]{}/ \\n\\t\\r",为默认设置caseSensitive: false ## 是否大小写敏感containZH: false ## 是否包含中文### 创建 topic 时可自定义TAG和键值索引设置indexStaus: "on" ## 非必填,TAG索引和键值索引设置开关,如果不设置,则默认创建pod_name/namesapce/container_name三个TAG索引;off则表示不设置键值索引autoIndex: "off" ## 非必填, off则表示不设置自动配置索引,on标识开启自动配置索引indexs: ## 非必填。- indexName: xxx ## 需要配置键值索引或者TAG索引的字段;Pod相关的namespace/pod_name/pod_ip/pod_uid/container_id/container_name/image_name/cluster_id八个元数据字段和pod_label_前缀字段会设置为TAG索引,其他字段会设置为键值索引。indexType: "text" ## 非必填。字段类型,目前支持的类型有:long、text、double。非必填tokenizer: "@&()='\\",;:<>[]{}/ \\n\\t\\r" ## 非必填。字段的分词符,其中的每个字符代表一个分词符;仅支持英文符号及\\n\\t\\r;long及double类型字段需为空;## text类型字段推荐使用 @&?|#()='",;:<>[]{}/ \\n\\t\\r\\ 作为分词符;sqlFlag: true ## 非必填。字段是否开启分析功能。true/false字段是否开启分析功能,如果是日志主题是低频日志主题,sqlFlag选项不能被打开。containZH: false ## 非必填。是否包含中文。
日志采集规则配置示例
单行全文日志是指一行日志内容为一条完整的日志。日志服务在采集的时候,将使用换行符 \\n 来作为一条日志日志的结束符。为了统一结构化管理,每条日志都会存在一个默认的键值\\_\\_CONTENT\\_\\_,但日志数据本身不再进行日志结构化处理,也不会提取日志字段,日志属性的时间项由日志采集的时间决定。
假设一条日志原始数据为:
Tue Jan 22 12:08:15 CST 2019 Installed: libjpeg-turbo-static-1.2.90-6.el7.x86_64
LogConfig 配置参考示例如下:
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:clsDetail:topicId: xxxxxx-xx-xx-xx-xxxxxxxx# 单行日志logType: minimalist_log
采集到日志服务的数据为:
__CONTENT__:Tue Jan 22 12:08:15 CST 2019 Installed: libjpeg-turbo-static-1.2.90-6.el7.x86_64
多行全文日志是指一条完整的日志数据可能跨占多行(例如 Java stacktrace)。在这种情况下,以换行符 \\n 为日志的结束标识符就显得有些不合理,为了能让日志系统明确区分开每条日志,采用首行正则的方式进行匹配,当某行日志匹配上预先设置的正则表达式,就认为是一条日志的开头,而下一个行首出现作为该条日志的结束标识符。
多行全文也会设置一个默认的键值\\_\\_CONTENT\\_\\_,但日志数据本身不再进行日志结构化处理,也不会提取日志字段,日志属性的时间项由日志采集的时间决定。
假设一条多行日志原始数据为:
2019-12-15 17:13:06,043 [main] ERROR com.test.logging.FooFactory:java.lang.NullPointerExceptionat com.test.logging.FooFactory.createFoo(FooFactory.java:15)at com.test.logging.FooFactoryTest.test(FooFactoryTest.java:11)
LogConfig 配置的参考如下:
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:clsDetail:topicId: xxxxxx-xx-xx-xx-xxxxxxxx# 多行日志logType: multiline_logextractRule:# 只有以日期时间开头的行才被认为是新一条日志的开头,否则就添加换行符\\n并追加到当前日志的尾部beginningRegex: \\d{4}-\\d{2}-\\d{2}\\s\\d{2}:\\d{2}:\\d{2},\\d{3}\\s.+
采集到日志服务的数据为:
__CONTENT__:2019-12-15 17:13:06,043 [main] ERROR com.test.logging.FooFactory:\\njava.lang.NullPointerException\\n at com.test.logging.FooFactory.createFoo(FooFactory.java:15)\\n at com.test.logging.FooFactoryTest.test(FooFactoryTest.java:11)
单行完全正则格式通常用来处理结构化的日志,指将一条完整日志按正则方式提取多个 key-value 的日志解析模式。
假设一条日志原始数据为:
10.135.46.111 - - [22/Jan/2019:19:19:30 +0800] "GET /my/course/1 HTTP/1.1" 127.0.0.1 200 782 9703 "http://127.0.0.1/course/explore?filter%5Btype%5D=all&filter%5Bprice%5D=all&filter%5BcurrentLevelId%5D=all&orderBy=studentNum" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:64.0) Gecko/20100101 Firefox/64.0" 0.354 0.354
LogConfig 配置的参考如下:
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:clsDetail:topicId: xxxxxx-xx-xx-xx-xxxxxxxx# 完全正则格式logType: fullregex_logextractRule:# 正则表达式,会根据()捕获组提取对应的valuelogRegex: (\\S+)[^\\[]+(\\[[^:]+:\\d+:\\d+:\\d+\\s\\S+)\\s"(\\w+)\\s(\\S+)\\s([^"]+)"\\s(\\S+)\\s(\\d+)\\s(\\d+)\\s(\\d+)\\s"([^"]+)"\\s"([^"]+)"\\s+(\\S+)\\s(\\S+).*beginningRegex: (\\S+)[^\\[]+(\\[[^:]+:\\d+:\\d+:\\d+\\s\\S+)\\s"(\\w+)\\s(\\S+)\\s([^"]+)"\\s(\\S+)\\s(\\d+)\\s(\\d+)\\s(\\d+)\\s"([^"]+)"\\s"([^"]+)"\\s+(\\S+)\\s(\\S+).*# 提取的key列表,与提取的value的一一对应keys: ['remote_addr','time_local','request_method','request_url','http_protocol','http_host','status','request_length','body_bytes_sent','http_referer','http_user_agent','request_time','upstream_response_time']
采集到日志服务的数据为:
body_bytes_sent: 9703http_host: 127.0.0.1http_protocol: HTTP/1.1http_referer: http://127.0.0.1/course/explore?filter%5Btype%5D=all&filter%5Bprice%5D=all&filter%5BcurrentLevelId%5D=all&orderBy=studentNumhttp_user_agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:64.0) Gecko/20100101 Firefox/64.0remote_addr: 10.135.46.111request_length: 782request_method: GETrequest_time: 0.354request_url: /my/course/1status: 200time_local: [22/Jan/2019:19:19:30 +0800]upstream_response_time: 0.354
多行-完全正则模式适用于日志文本中一条完整的日志数据跨占多行(例如 Java 程序日志),可按正则表达式提取为多个 key-value 键值的日志解析模式。若不需要提取 key-value,请参阅多行全文格式进行配置。
假设一条日志原始数据为:
[2018-10-01T10:30:01,000] [INFO] java.lang.Exception: exception happenedat TestPrintStackTrace.f(TestPrintStackTrace.java:3)at TestPrintStackTrace.g(TestPrintStackTrace.java:7)at TestPrintStackTrace.main(TestPrintStackTrace.java:16)
LogConfig 配置的参考如下:
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:clsDetail:topicId: xxxxxx-xx-xx-xx-xxxxxxxx#多行-完全正则格式logType: multiline_fullregex_logextractRule:#行首完全正则表达式,只有以日期时间开头的行才被认为是新一条日志的开头,否则就添加换行符\\n并追加到当前日志的尾部beginningRegex: \\[\\d+-\\d+-\\w+:\\d+:\\d+,\\d+\\]\\s\\[\\w+\\]\\s.*#正则表达式,会根据()捕获组提取对应的valuelogRegex: \\[(\\d+-\\d+-\\w+:\\d+:\\d+,\\d+)\\]\\s\\[(\\w+)\\]\\s(.*)# 提取的 key 列表,与提取的 value 的一一对应keys: ['time','level','msg']
根据提取的 key,采集到日志服务的数据为:
time: 2018-10-01T10:30:01,000`level: INFO`msg:java.lang.Exception: exception happenedat TestPrintStackTrace.f(TestPrintStackTrace.java:3)at TestPrintStackTrace.g(TestPrintStackTrace.java:7)at TestPrintStackTrace.main(TestPrintStackTrace.java:16)
JSON 格式日志会自动提取首层的 key 作为对应字段名,首层的 value 作为对应的字段值,以该方式将整条日志进行结构化处理,每条完整的日志以换行符\\n为结束标识符。
假设一条 JSON 日志原始数据为:
{"remote_ip":"10.135.46.111","time_local":"22/Jan/2019:19:19:34 +0800","body_sent":23,"responsetime":0.232,"upstreamtime":"0.232","upstreamhost":"unix:/tmp/php-cgi.sock","http_host":"127.0.0.1","method":"POST","url":"/event/dispatch","request":"POST /event/dispatch HTTP/1.1","xff":"-","referer":"http://127.0.0.1/my/course/4","agent":"Mozilla/5.0 (Windows NT 10.0; WOW64; rv:64.0) Gecko/20100101 Firefox/64.0","response_code":"200"}
LogConfig 配置的参考如下:
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:clsDetail:topicId: xxxxxx-xx-xx-xx-xxxxxxxx# JSON格式日志logType: json_log
采集到日志服务的数据为:
agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:64.0) Gecko/20100101 Firefox/64.0body_sent: 23http_host: 127.0.0.1method: POSTreferer: http://127.0.0.1/my/course/4remote_ip: 10.135.46.111request: POST /event/dispatch HTTP/1.1response_code: 200responsetime: 0.232time_local: 22/Jan/2019:19:19:34 +0800upstreamhost: unix:/tmp/php-cgi.sockupstreamtime: 0.232url: /event/dispatchxff: -
分隔符日志是指一条日志数据可以根据指定的分隔符将整条日志进行结构化处理,每条完整的日志以换行符 \\n 为结束标识符。日志服务在进行分隔符格式日志处理时,您需要为每个分开的字段定义唯一的 key。
假设您的一条日志原始数据为:
10.20.20.10 ::: [Tue Jan 22 14:49:45 CST 2019 +0800] ::: GET /online/sample HTTP/1.1 ::: 127.0.0.1 ::: 200 ::: 647 ::: 35 ::: http://127.0.0.1/
LogConfig 配置的参考如下:
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:clsDetail:topicId: xxxxxx-xx-xx-xx-xxxxxxxx# 分隔符日志logType: delimiter_logextractRule:# 分隔符delimiter: ':::'# 提取的key列表,与被分割的字段一一对应keys: ['IP','time','request','host','status','length','bytes','referer']
采集到日志服务的数据为:
IP: 10.20.20.10bytes: 35host: 127.0.0.1length: 647referer: http://127.0.0.1/request: GET /online/sample HTTP/1.1status: 200
假设您的一条日志的原始数据为:
1571394459,http://127.0.0.1/my/course/4|10.135.46.111|200,status:DEAD,
自定义插件内容如下:
{"processors": [{"type": "processor_split_delimiter","detail": {"Delimiter": ",","ExtractKeys": [ "time", "msg1","msg2"]},"processors": [{"type": "processor_timeformat","detail": {"KeepSource": true,"TimeFormat": "%s","SourceKey": "time"}},{"type": "processor_split_delimiter","detail": {"KeepSource": false,"Delimiter": "|","SourceKey": "msg1","ExtractKeys": [ "submsg1","submsg2","submsg3"]},"processors": []},{"type": "processor_split_key_value","detail": {"KeepSource": false,"Delimiter": ":","SourceKey": "msg2"}}]}]}
LogConfig 配置的参考如下:
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:clsDetail:topicId: xxxxxx-xx-xx-xx-xxxxxxxx# 分隔符日志logType: user_define_loguserDefineRule:"{ \\"processors\\": [ { \\"type\\": \\"processor_split_delimiter\\", \\"detail\\": { \\"Delimiter\\": \\",\\", \\"ExtractKeys\\": [ \\"time\\", \\"msg1\\",\\"msg2\\"] }, \\"processors\\": [ { \\"type\\": \\"processor_timeformat\\", \\"detail\\": { \\"KeepSource\\": true, \\"TimeFormat\\": \\"%s\\", \\"SourceKey\\": \\"time\\" } }, { \\"type\\": \\"processor_split_delimiter\\", \\"detail\\": { \\"KeepSource\\": false, \\"Delimiter\\": \\"|\\", \\"SourceKey\\": \\"msg1\\", \\"ExtractKeys\\": [ \\"submsg1\\",\\"submsg2\\",\\"submsg3\\"] }, \\"processors\\": [] }, { \\"type\\": \\"processor_split_key_value\\", \\"detail\\": { \\"KeepSource\\": false, \\"Delimiter\\": \\":\\", \\"SourceKey\\": \\"msg2\\" } } ] } ] }"
经过日志服务结构化处理后,该条日志将变为如下:
time: 1571394459submsg1: http://127.0.0.1/my/course/4submsg2: 10.135.46.111submsg3: 200status: DEAD
inputDetail(日志源)字段说明
inputDetail:type: container_stdout ## 指定采集日志的类型,包括container_stdout(容器标准输出)、container_file(容器文件)、host_file(主机文件)containerStdout: ## 容器标准输出配置,仅在type:container_stdout时生效namespace: default ## 采集容器的kubernetes命名空间。支持多个命名空间,如果有多个命名空间使用","分隔,如:default,namespace。 如果不指定,代表所有命名空间。注意:与 excludeNamespace 不能同时指定excludeNamespace: nm1,nm2 ## 排除采集容器的kubernetes命名空间。支持多个命名空间,如果有多个命名空间使用","分隔,如:nm1,nm2。 如果不指定,代表所有命名空间。 注意:与 namespace 不能同时指定nsLabelSelector: environment in (production),tier in (frontend) ## 根据命名空间label 筛选符合的 namespaceallContainers: false ## 是否采集指定命名空间中的所有容器的标准输出。注意:allContainers=true 时不能同时指定 workload,includeLabels 和 excludeLabelscontainerOperator: in ## container选择方式, 包含填in,排除填not incontainer: xxx ## 指定采集或不采集日志的容器名,支持填写多个,逗号隔开。 若containerOperator为in,则可填*,代表采集所有容器includeLabels: ## 采集包含指定label的Pod,与workload不能同时指定key: value1 ## 支持匹配同一个key下多个value值的pod,例填写enviroment = production,qa表示当key为enviroment,value值为production或qa时,均会被匹配,注意输入多个value值时请使用逗号隔开。 如果同时指定了 excludeLabels,则匹配与 excludeLabels 交集的podexcludeLabels: ## 采集不包含包含指定label的Pod,与workload,namespace 和 excludeNamespace 不能同时指定key2: value2 ## 支持匹配同一个key下多个value值的pod,例填写enviroment = production,qa表示当key为enviroment,value值为production或qa时,均会被排除,注意输入多个value值时请使用逗号隔开。如果同时指定了 includeLabels,则匹配与 includeLabels 交集的podmetadataLabels: ## 指定具体哪些pod label被当做元数据采集,如果不指定,则采集所有pod label为元数据- label1metadataContainer: ## 指定具体哪些容器环境相关元数据被采集,如果不指定,则采集所有容器环境相关元数据(namespace,pod_name,pod_ip,pod_uid,container_id,container_name,image_name)- namespacecustomLabels: ## 用户自定义metadatalabel: l1workloads: ## 采集指定命名空间 -> 指定工作负载类型中 -> 指定工作负载 -> 指定容器中的日志- container: xxx ## 要采集的容器名,如果不指定,代表workload Pod中的所有容器containerOperator: in ## container选择方式, 包含填in,排除填not inkind: deployment ## workload类型,支持deployment、daemonset、statefulset、job、cronjobname: sample-app ## workload的名字namespace: prod ## workload的命名空间containerFile: ## 容器内文件配置,仅在type:container_file时生效namespace: default ## 采集容器的kubernetes命名空间,必须指定一个命名空间excludeNamespace: nm1,nm2 ## 排除采集容器的kubernetes命名空间。支持多个命名空间,如果有多个命名空间使用","分隔,如:nm1,nm2。 如果不指定,代表所有命名空间。 注意:与 namespace 不能同时指定nsLabelSelector: environment in (production),tier in (frontend) ## 根据命名空间label 筛选符合的 namespacecontainerOperator: in ## container选择方式, 包含填in,排除填not incontainer: xxx ## 指定采集或不采集日志的容器名,支持填写多个,逗号隔开。 若containerOperator为in,则可填*,代表采集所有容器。若制定了workload类型和名称,此处可定义指定工作负载中容器的名称logPath: /var/logs ## 日志文件夹,支持通配符 * 和 ?;* 表示匹配多个任意字符,? 表示匹配单个任意字符filePattern: app_*.log ## 日志文件名,支持通配符 * 和 ? ,* 表示匹配多个任意字符,? 表示匹配单个任意字符## 指定容器内多个日志路径和文件,该参数和logPath、filePattern不兼容,只能指定filePaths或者(logPath、filePattern)## 如果从(logPath和filePattern) -> filePaths会触发日志重采;相反从filePaths->logPath和filePattern)也一样filePaths:- file: /var/logs ## 日志文件夹,支持通配符 * 和 ?;* 表示匹配多个任意字符,? 表示匹配单个任意字符path: app_*.log ## 日志文件名,支持通配符 * 和 ? ;* 表示匹配多个任意字符,? 表示匹配单个任意字符- file: /var/logs1path: app_*.logincludeLabels: ## 采集包含指定label的Pod,与workload不能同时指定key: value1 ## 收集规则收集的日志会带上metadata,并上报到消费端。支持匹配同一个key下多个value值的pod,例填写enviroment = production,qa表示当key为enviroment,value值为production或qa时,均会被匹配,注意输入多个value值时请使用逗号隔开。 如果同时指定了 excludeLabels,则匹配与 excludeLabels 交集的podexcludeLabels: ## 采集不包含包含指定label的Pod,与workload不能同时指定key2: value2 ## 支持匹配同一个key下多个value值的pod,例填写enviroment = production,qa表示当key为enviroment,value值为production或qa时,均会被排除,注意输入多个value值时请使用逗号隔开。如果同时指定了 includeLabels,则匹配与 includeLabels 交集的podmetadataLabels: ## 指定具体哪些pod label被当做元数据采集,如果不指定,则采集所有pod label为元数据- namespacemetadataContainer: ## 指定具体哪些容器环境相关元数据被采集,如果不指定,则采集所有容器环境相关元数据(namespace,pod_name,pod_ip,pod_uid,container_id,container_name,image_name)customLabels: ## 用户自定义metadatakey: valueworkload: ## 采集指定命名空间 -> 指定工作负载类型中 -> 指定工作负载中的所有容器。 若要指定工作负载中的容器, 需在外层container中指定kind: deployment ## workload类型,支持deployment、daemonset、statefulset、job、cronjobname: sample-app ## workload的名字namespace: prod ## workload的命名空间hostFile: ## 节点文件路径,仅在type:host_file时生效filePattern: '*.log' ## 日志文件名,支持通配符 * 和 ? ,* 表示匹配多个任意字符,? 表示匹配单个任意字符logPath: /tmp/logs ## 日志文件夹,支持通配符 * 和 ? ;* 表示匹配多个任意字符,? 表示匹配单个任意字符## 指定容器内多个日志路径和文件,该参数和logPath、filePattern不兼容,只能指定filePaths或者(logPath、filePattern)## 如果从(logPath和filePattern) -> filePaths会触发日志重采;相反从filePaths->logPath和filePattern)也一样filePaths:- file: /var/logs ## 日志文件夹,支持通配符 * 和 ?;* 表示匹配多个任意字符,? 表示匹配单个任意字符path: app_*.log ## 日志文件名,支持通配符 * 和 ? ;* 表示匹配多个任意字符,? 表示匹配单个任意字符- file: /var/logs1path: app_*.logcustomLabels: ## 用户自定义metadatalabel1: v1
日志源配置示例
示例1:采集 default 命名空间中的所有容器的标准输出。
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:inputDetail:type: container_stdoutcontainerStdout:namespace: defaultallContainers: true...
示例2:采集 production 命名空间中属于 ingress-gateway deployment 的 pod 中的所有容器的标准输出。
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigspec:inputDetail:type: container_stdoutcontainerStdout:allContainers: falseworkloads:- namespace: productionname: ingress-gatewaykind: deployment...
示例3:采集 production 命名空间中 pod 标签中包含 “k8s-app=nginx” 的 pod 中的所有容器的标准输出。
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigspec:inputDetail:type: container_stdoutcontainerStdout:namespace: productionallContainers: falseincludeLabels:k8s-app: nginx...
示例4:采集 production 命名空间中属于 ingress-gateway 工作负载的 pod 中,名称为 ingress 的容器的标准输出。
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigspec:inputDetail:type: container_stdoutcontainerStdout:allContainers: falsecontainerOperator: incontainer: ingressworkloads:- namespace: productionname: ingress-gatewaykind: deployment...
示例1:采集 production 命名空间中属于 ingress-gateway deployment 的 pod 中的 nginx 容器中 /data/nginx/log/ 路径下名为 access.log 的文件
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:inputDetail:type: container_filecontainerFile:namespace: productionworkload:name: ingress-gatewaykind: deploymentcontainer: nginxfilePaths:- file: access.logpath: /data/nginx/log...
示例2:采集 production 命名空间中 pod 标签包含 “k8s-app=ingress-gateway” 的 pod 中的 nginx 容器中 /data/nginx/log/ 路径下名为 access.log 的文件
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigspec:inputDetail:type: container_filecontainerFile:namespace: productionincludeLabels:k8s-app: ingress-gatewaycontainer: nginxfilePaths:- file: access.logpath: /data/nginx/log...
示例:采集主机 /data/ 路径下所有 .log 文件
apiVersion: cls.cloud.tencent.com/v1kind: LogConfigmetadata:name: test ## 采集配置名称spec:inputDetail:type: host_filehostFile:logPath: /datafilePattern: *.log...
步骤三:创建 LogConfig 对象
kubectl create -f /usr/local/LogConfig.yaml
步骤四:查看 LogConfig
kubectl get logconfig