Docker イベントは、コンテナ、イメージ、プラグイン、ネットワーク、ボリュームとのすべてのインタラクションを記録します。 Simple Log Service コンソールで Logtail 構成を作成し、モニタリング、監査、トラブルシューティングのためにこれらのイベントを収集できます。
前提条件
Linux サーバーに Logtail 0.16.18 以降のバージョンがインストールされていること。 詳細については、「Linux サーバーへの Logtail のインストール」をご参照ください。
制限事項
-
Logtail はコンテナ内またはホスト上で実行でき、
/var/run/docker.sockファイルにアクセスするための権限が必要です。Kubernetes ログを収集するには、「Kubernetes ログの収集」をご参照ください。 標準的なコンテナログを収集するには、「Docker コンテナログの収集 (標準出力およびファイル)」をご参照ください。
-
Logtail が再起動中または停止中は、コンテナイベントを収集できません。
シナリオ
-
すべてのコンテナの開始イベントと停止イベントをモニタリングし、コアコンテナが停止した場合は直ちにアラートをトリガーします。
-
監査、セキュリティ分析、トラブルシューティングのために、すべてのコンテナイベントを収集します。
-
すべてのイメージのプルイベントをモニタリングし、不正なパスからイメージがプルされた場合は直ちにアラートをトリガーします。
手順
Log Serviceコンソールにログインします。
-
[データインポート] セクションで、[カスタムデータプラグイン] を選択します。
プロジェクトとLogstoreを選択します。 そして、[次へ] をクリックします。
マシングループの設定ステップで、マシングループを設定します。
ビジネス要件に基づいて、シナリオとインストール環境のパラメーターを設定します。
重要マシングループが使用可能かどうかに関係なく、シナリオパラメーターとインストール環境パラメーターを設定する必要があります。 パラメーター設定は、以降の設定に影響します。
[応用サーバーグループ] セクションにマシングループが表示されていることを確認し、[次へ] をクリックします。
マシングループ利用可能
[ソースマシングループ] セクションからマシングループを選択します。

マシングループがありません
[マシングループの作成] をクリックします。 マシングループの作成パネルで、パラメーターを設定します。 マシングループ識別子パラメーターをIPアドレスまたはカスタム識別子に設定できます。 詳細については、「カスタム識別子ベースのマシングループの作成」または「IPアドレスベースのマシングループの作成」をご参照ください。
重要マシングループを作成した直後にマシングループを適用すると、マシングループのハートビートステータスがFAILになる可能性があります。 この問題は、マシングループがSimple Log Serviceに接続されていないために発生します。 この問題を解決するには、[再試行] をクリックします。 問題が解決しない場合は、Logtailでハートビート接続が検出されない場合はどうすればよいですか?
-
[データソース設定] タブで、[設定名] と [プラグイン設定] を設定し、[次へ] をクリックします。
入力は必須であり、Logtail構成のデータソース設定を構成するために使用されます。
重要inputsに指定できるデータソースの種類は1つだけです。
processorsはオプションで、データを解析するLogtail設定のデータ処理設定を設定するために使用されます。 1つ以上の処理方法を指定できます。
入力の設定のみに基づいてログを解析できない場合は、[プラグイン設定] フィールドでプロセッサを設定して、データ処理用のプラグインを追加できます。 たとえば、フィールドの抽出、ログ時間の抽出、データのマスク、ログのフィルタリングができます。 詳細については、「Logtailプラグインを使用したデータ処理」をご参照ください。
{ "inputs": [ { "detail": {}, "type": "service_docker_event" } ] }パラメーター
タイプ
必須
説明
type
string
はい
データソースのタイプ。 値を service_docker_event に設定します。
EventQueueSize
int
いいえ
イベントバッファーキューのサイズ。 デフォルト値は 10 です。 特定の要件がない限り、デフォルト値を使用してください。
インデックスの作成とプレビュー 次に、[次へ] をクリックします。 デフォルトでは、Simple Log Serviceでフルテキストインデックスが有効になっています。 収集したログのフィールドインデックスを手動で作成するか、[自動インデックス生成] をクリックすることもできます。 その後、Simple Log Serviceはフィールドインデックスを生成します。 詳細については、「インデックスの作成」をご参照ください。
重要ログのすべてのフィールドをクエリする場合は、フルテキストインデックスを使用することを推奨します。 特定のフィールドのみをクエリする場合は、フィールドインデックスを使用することを推奨します。 これは、インデックストラフィックを減らすのに役立ちます。 フィールドを分析する場合は、フィールドインデックスを作成する必要があります。 分析のために、クエリ文にSELECT文を含める必要があります。
[ログクエリ] をクリックします。 Logstoreのクエリと分析ページにリダイレクトされます。
インデックスが有効になるまで約1分待つ必要があります。 次に、収集したログを [生ログ] タブで表示できます。 詳細については、「ログの照会と分析」をご参照ください。
トラブルシューティング
Logtailを使用してログを収集した後、プレビューページまたはクエリページにデータが表示されない場合は、Logtailを使用してログを収集するときにエラーが発生した場合はどうすればよいですか?
ログの例
以下の例は、Docker イベントのサンプルを示しています。
-
例 1:イメージのプルイベント
__source__: 10.10.10.10 __tag__:__hostname__: logtail-ds-77brr __topic__: _action_: pull _id_: registry.cn-hangzhou.aliyuncs.com/ringtail/eventer:v1.6.1.3 _time_nano_: 1547910184047414271 _type_: image name: registry.cn-hangzhou.aliyuncs.com/ringtail/eventer -
例 2:Kubernetes でのコンテナ破棄イベント
__source__: 10.10.10.10 __tag__:__hostname__: logtail-ds-xnvz2 __topic__: _action_: destroy _id_: af61340b0ac19e6f5f32be672d81a33fc4d3d247bf7dbd4d3b2c030b8bec4a03 _time_nano_: 1547968139380572119 _type_: container annotation.kubernetes.io/config.seen: 2019-01-20T15:03:03.114145184+08:00 annotation.kubernetes.io/config.source: api annotation.scheduler.alpha.kubernetes.io/critical-pod: controller-revision-hash: 2630731929 image: registry-vpc.cn-hangzhou.aliyuncs.com/acs/pause-amd64:3.0 io.kubernetes.container.name: POD io.kubernetes.docker.type: podsandbox io.kubernetes.pod.name: logtail-ds-44jbg io.kubernetes.pod.namespace: kube-system io.kubernetes.pod.uid: 6ddcf598-1c81-11e9-9ddf-00163e0c7cbe k8s-app: logtail-ds kubernetes.io/cluster-service: true name: k8s_POD_logtail-ds-44jbg_kube-system_6ddcf598-1c81-11e9-9ddf-00163e0c7cbe_0 pod-template-generation: 9 version: v1.0
次の表に、Docker イベントのログフィールドを示します。 詳細については、「Docker の公式ドキュメント」をご参照ください。
|
フィールド |
説明 |
|
_type_ |
リソースタイプ (コンテナやイメージなど)。 |
|
_action_ |
操作タイプ (destroy や status など)。 |
|
_id_ |
イベントの一意の ID。 |
|
_time_nano_ |
イベントのタイムスタンプ。 |