摘要:環(huán)境要求由,和容器組成使用日志收集器將日志發(fā)送到。若使用自己的部署,分析和可視化日志的概念保持不變。日志可視化以索引數(shù)據(jù)為基礎(chǔ)創(chuàng)建豐富的可視化和儀表板的能力而聞名,事實(shí)上,得到這些數(shù)據(jù)并不容易。
昨天小數(shù)分享的使用ELK處理Docker日志(一)很受歡迎,今天迫不及待的帶來第二篇,側(cè)重于分析和可視化,期待給您帶來幫助:)
噓,聽說數(shù)人云工程師們在奧斯汀DockerCON2017買了DockerT恤,小數(shù)要搶來送給大家,具體規(guī)則請關(guān)注明日微信~
上篇文章介紹了如何將容器日志收集到ELK (Elasticsearch,Logstash和Kibana)的基本步驟。不管最終使用哪種方法來收集Docker日志--使用日志驅(qū)動(dòng)程序或?qū)S萌罩掘?qū)動(dòng)均可行,接下來要解決的問題是如何在Elasticsearch中編入索引并在Kibana展現(xiàn)時(shí)處理日志。
本文將進(jìn)一步分析使用ELK記錄Docker的過程 - 分析和可視化日志。
Dockerized環(huán)境要求:
由ELK,Prometheus和Grafana容器組成
使用Docker日志收集器將Docker日志發(fā)送到Logz.io ELK。
若使用自己的ELK部署,分析和可視化日志的概念保持不變。
分析之前的準(zhǔn)備工作...解析分析容器生成日志的難度級別取決于如何解析--將消息分解成有效字段的效率越高,可視化起來也就越容易,這正是 Kibana 知名的原因。
由于Dockerized環(huán)境存在差異,提供詳細(xì)的解析說明是很困難的,以下是同一主機(jī)上兩個(gè)不同容器的日志。首先是Grafana容器:
t=2017-03-22T13:04:47+0000 lvl=info msg="Request Completed" logger=context userId=1 orgId=1 uname=admin method=GET path=/logout status=302 remote_addr=109.67.183.188 time_ms=1ns size=29
然后是Elasticsearch容器:
[2017-03-22T13:05:01,974][INFO ][o.e.c.r.a.DiskThresholdMonitor] [0EUzBd2] rerouting shards: [high disk watermark exceeded on one or more nodes]
日志解析小技巧:
時(shí)間戳 嘗試規(guī)范不同類型容器日志的時(shí)間戳字段,有助于以后日志的分析,不用修改每個(gè)新鏡像的時(shí)間格式。
服務(wù)ID /標(biāo)簽 為了區(qū)分不同的容器日志,給每個(gè)日志類型添加標(biāo)簽至關(guān)重要,這樣可以在Kibana中以不同的流來區(qū)分日志,若想在日志中獲取容器名稱和ID,也可以添加更多的數(shù)據(jù)注釋,以便將來分析。
丟掉不必要的數(shù)據(jù) 如果有不必要的數(shù)據(jù)字符串,可以使用Logstash過濾器刪除,經(jīng)常清理后續(xù)分析會(huì)變得容易一些,另外,請不要將日志寫入STDOUT / STDERR。
當(dāng)然,自己完成所有這些操作并不簡單,可以借助logspout和Logz.io日志收集器等工具。
日志查詢上篇文章已經(jīng)介紹如何將Docker日志存入Elasticsearch,基于這個(gè)條件我們開始新的操作。
分析數(shù)據(jù)之前,最好將一些字段添加到主日志顯示區(qū)域(“Discover”選項(xiàng)),有助于了解數(shù)據(jù)。
如上所述,這個(gè)字段列表以及是否可以用于分析,完全取決于如何配置解析。示例中保留了一些有用的字段,可以看到諸如“image”(容器鏡像名稱),“id”(容器ID)和“name” (容器名稱)。
.
接下來就是查詢?nèi)罩荆@里需要熟悉Kibana基本查詢語法,簡單介紹下使用Kibana搜索Docker日志上下文,更多Kibana語法查詢方法可關(guān)注Kibana教程。
用 "free-text"在日志中進(jìn)行搜索是比較常用的方式,更精確的搜索例如"Field-level"可鎖定特定容器或主機(jī)的日志:
id: 84379bdbe8e0
還可以在邏輯語句中組合兩個(gè)"field-level"搜索,以查找特定容器和重要日志:
id: 6c05ea5efd6d AND loglevel:INFO
記住,這些字段需要在解析中進(jìn)行映射,以便執(zhí)行基于字段的搜索。
查看特定容器的日志的另一種方法是使用"_exists_"查詢,可根據(jù)日志消息中存在的特定字段過濾。
例如:
_exists_:loglevel
完成數(shù)據(jù)查詢后,不要忘記保存查詢語句,這將會(huì)在接下來的可視化環(huán)節(jié)提供幫助,雖然可以在創(chuàng)建可視化的同時(shí)進(jìn)行搜索,但是過濾后的數(shù)據(jù)范圍縮小了查找更容易。
Docker日志可視化Kibana以索引數(shù)據(jù)為基礎(chǔ)創(chuàng)建豐富的可視化和儀表板的能力而聞名,事實(shí)上,得到這些數(shù)據(jù)并不容易。需要再次強(qiáng)調(diào)的是-如何映射和解析消息至關(guān)重要。下面來看一些簡單的例子。
單個(gè)容器日志根據(jù)每個(gè)容器或主機(jī)生成的日志量創(chuàng)建可視化餅圖,使用容器“name”字段的聚合,得到以下結(jié)果:
當(dāng)然也可以使用 "image" 或 "host" 進(jìn)行聚合。
單個(gè)容器事件另一個(gè)例子是監(jiān)控特定容器的事件數(shù)量,為此,將基于保存的事件日志搜索創(chuàng)建可視化折線圖,示例中有生成日志事件(錯(cuò)誤和警告日志)的特殊容器,需要做的是將X軸配置為使用日期直方圖:
條形圖可以更全面地查看每個(gè)容器日志:
鏡像/容器/主機(jī)的數(shù)量用獨(dú)特的可視化聚合方式,在環(huán)境中顯示Docker容器,鏡像和主機(jī)的數(shù)量:
這些只是在Kibana中可視化Docker容器日志的簡單示例,Kibana包含更多可用的可視化類型 --平鋪地圖可視化可以創(chuàng)建IP字段(映射為地理位置字段),條形圖,數(shù)據(jù)表等的地理圖表。
如果使用Logz.io ELK來記錄Docker日志,則可以在ELK APPS 中使用預(yù)制的儀表板--一個(gè)免費(fèi)的Kibana可視化和儀表板庫:
.
盡管在Docker1.12中引入了Docker驅(qū)動(dòng)程序,容器日志記錄仍然是一個(gè)很大的挑戰(zhàn),日志收集沒有捷徑,解決方案各有優(yōu)缺點(diǎn),然而文中未提及的Docker生成其他類型的數(shù)據(jù)(例如 container stats 和 daemon events)也應(yīng)當(dāng)被記錄下來。
盡管從Docker主機(jī)到ELK的設(shè)置并創(chuàng)建良好的日志解析通道并不簡單,但最終的結(jié)果是值得的,可視化全方位日志將能更有效地關(guān)聯(lián)事件并監(jiān)控Dockerized環(huán)境。
原文鏈接:https://logz.io/blog/docker-l...
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/26874.html
摘要:數(shù)據(jù)導(dǎo)入與校驗(yàn)容器運(yùn)行之后,筆者需要驗(yàn)證是否啟動(dòng)成功,可以通過瀏覽器訪問和的頁面是否成功來判斷。的整體操作流程比較簡單,首先是收集各種日志并進(jìn)行過濾,然后將過濾后的內(nèi)容發(fā)送到服務(wù)中,最后用戶通過的頁面查看中的日志數(shù)據(jù)作者湯青松微信日期 一、背景 筆者所在項(xiàng)目組的項(xiàng)目由多個(gè)子項(xiàng)目所組成,每一個(gè)子項(xiàng)目都存在一定的日志,有時(shí)候想排查一些問題,需要到各個(gè)地方去查看,極為不方便,此前聽說有ELK...
摘要:數(shù)據(jù)導(dǎo)入與校驗(yàn)容器運(yùn)行之后,筆者需要驗(yàn)證是否啟動(dòng)成功,可以通過瀏覽器訪問和的頁面是否成功來判斷。的整體操作流程比較簡單,首先是收集各種日志并進(jìn)行過濾,然后將過濾后的內(nèi)容發(fā)送到服務(wù)中,最后用戶通過的頁面查看中的日志數(shù)據(jù)作者湯青松微信日期 一、背景 筆者所在項(xiàng)目組的項(xiàng)目由多個(gè)子項(xiàng)目所組成,每一個(gè)子項(xiàng)目都存在一定的日志,有時(shí)候想排查一些問題,需要到各個(gè)地方去查看,極為不方便,此前聽說有ELK...
摘要:數(shù)據(jù)導(dǎo)入與校驗(yàn)容器運(yùn)行之后,筆者需要驗(yàn)證是否啟動(dòng)成功,可以通過瀏覽器訪問和的頁面是否成功來判斷。的整體操作流程比較簡單,首先是收集各種日志并進(jìn)行過濾,然后將過濾后的內(nèi)容發(fā)送到服務(wù)中,最后用戶通過的頁面查看中的日志數(shù)據(jù)作者湯青松微信日期 一、背景 筆者所在項(xiàng)目組的項(xiàng)目由多個(gè)子項(xiàng)目所組成,每一個(gè)子項(xiàng)目都存在一定的日志,有時(shí)候想排查一些問題,需要到各個(gè)地方去查看,極為不方便,此前聽說有ELK...
摘要:編者的話產(chǎn)品經(jīng)理為了紀(jì)念四歲生日,撰寫一系列文章,介紹如何使用收集和處理環(huán)境日志。在將日志發(fā)送到的上下文中,使用日志驅(qū)動(dòng)可能是最簡單的方法。如果使用或日志記錄驅(qū)動(dòng)程序,則需要將定義為輸入。 [編者的話] Daniel Berman ( Logz.io 產(chǎn)品經(jīng)理)為了紀(jì)念 Docker 四歲生日,撰寫一系列文章,介紹如何使用 ELK 收集和處理 Dockerized 環(huán)境日志。小數(shù)今天...
摘要:漢化使用中文界面實(shí)踐一背景筆者在上一篇文章使用快速部署分析日志實(shí)踐當(dāng)中有提到如何快速搭建分析日志,但是這只是第一步,后面還有很多儀表盤需要配置,而對于大部分人來說,英文并不是那么好,但都是英文界面,這就阻礙了筆者熟悉的一些操作所以筆者思考能 Kibana漢化使用中文界面實(shí)踐 一、背景 筆者在上一篇文章使用Docker快速部署ELK分析Nginx日志實(shí)踐當(dāng)中有提到如何快速搭建ELK分析N...
閱讀 1856·2021-11-22 15:24
閱讀 1312·2021-11-12 10:36
閱讀 3211·2021-09-28 09:36
閱讀 1842·2021-09-02 15:15
閱讀 2755·2019-08-30 15:54
閱讀 2397·2019-08-30 11:02
閱讀 2397·2019-08-29 13:52
閱讀 3545·2019-08-26 11:53