本文介绍如何在控制台上创建Logtail配置,并以DaemonSet方式采集容器文件日志。

前提条件

已安装alibaba-log-controller组件。具体操作,请参见安装Logtail组件

功能特点

Logtail支持将容器产生的文本日志和容器相关的元数据信息一起上传到日志服务。Logtail具备以下功能特点。
  • 只需配置容器内的日志文件路径,无需关心该路径到宿主机的映射。
  • 支持通过Label白名单指定待采集的容器。
  • 支持通过Label黑名单排除不要采集的容器。
  • 支持通过环境变量白名单指定待采集的容器。
  • 支持通过环境变量黑名单排除不要采集的容器。
  • 支持采集多行日志(例如JAVA Stack日志)。
  • 支持上报容器日志时自动关联Meta信息(例如容器名、镜像、Pod、Namespace等)。

限制说明

  • 采集停止策略:当容器被停止后,Logtail监听到容器die的事件后会停止该容器日志的采集。如果此时采集出现延迟,则可能丢失停止前的部分日志。
  • Docker存储驱动限制:目前只支持overlay、overlay2,其他存储驱动需将日志所在目录通过数据卷挂载为临时目录。
  • 不支持采集软链接:目前Logtail无法访问业务容器的软链接,请按真实路径配置采集目录。
  • 如果业务容器的数据目录是通过数据卷(Volume)挂载的,则不支持采集它的父目录,需设置采集目录为完整的数据目录。

    例如/var/log/service目录是数据卷挂载的路径,则设置采集目录为/var/log将采集不到该目录下的日志,需设置采集目录为/var/log/service

  • Kubernetes默认将宿主机根目录挂载到Logtail容器的/logtail_host目录。如果您要采集宿主机文本日志,则配置日志文件路径时,需加上/logtail_host前缀。

    例如需要采集宿主机上/home/logs/app_log/目录下的日志,则设置日志路径为/logtail_host/home/logs/app_log/

  • Logtail支持Docker和Containerd两种容器引擎的数据采集,访问路径说明如下:
    • Docker:Logtail通过/run/docker.sock访问Docker,请确保该路径存在且具备访问权限。
    • Containerd:Logtail通过/run/containerd/containerd.sock访问Containerd,请确保该路径存在且具备访问权限。

创建Logtail采集配置

  1. 登录日志服务控制台
  2. 数据接入区域,单击Kubernetes-文件
  3. 选择目标Project和Logstore,单击下一步
    选择您在安装Logtail组件时所使用的Project。Logstore为您自定义创建的Logstore。
  4. 单击使用现有机器组
    安装Logtail组件后,日志服务自动创建名为k8s-group-${your_k8s_cluster_id}的机器组,您可以直接使用该机器组。
  5. 选中目标机器组(k8s-group-${your_k8s_cluster_id}),将该机器组从源机器组移动到应用机器组,单击下一步
    注意 如果机器组心跳为FAIL,您可单击自动重试。如果还未解决,请参见Logtail机器组无心跳进行排查。
  6. 设置Logtail采集配置,单击下一步
    1. 设置基本信息(例如配置名称、日志路径、模式等)。更多信息,请参见采集文本日志
    2. 打开是否为Docker文件的开关。
    3. 可选:设置Label白名单Label黑名单

      Kubernetes中的命名空间名和容器名会映射到容器Label中,分别为io.kubernetes.pod.namespaceio.kubernetes.container.name。推荐使用这两个Label进行容器过滤。如果这两个Label未满足需求,请使用环境变量的黑白名单进行容器过滤。

      例如某Pod所属的命名空间为backend-prod,容器名为worker-server,则您配置其中一个为Label白名单,即可指定只采集该容器的日志,Label白名单为io.kubernetes.pod.namespace : backend-prodio.kubernetes.container.name : worker-server

      注意
      • 本文中的Label为Docker inspect中的Label,不是Kubernetes配置中的Label。如何获取,请参见获取容器Label
      • 请勿设置相同的LabelKey,如果重名只生效一个。
      参数名称 参数说明
      Label白名单 用于指定待采集的容器。如果您要设置Label白名单,那么LabelKey必填,LabelValue可选填。
      • 如果LabelValue为空,则容器Label中包含LabelKey的容器的日志都将被采集。
      • 如果LabelValue不为空,则容器Label中包含LabelKey=LabelValue的容器的日志将被采集。

        LabelValue默认为字符串匹配,即只有LabelValue和容器Label的值完全相同才会匹配。如果该值以^开头并且以$结尾,则为正则匹配。例如:配置LabelKey为io.kubernetes.container.name,配置LabelValue为^(nginx|cube)$,表示可匹配名为nginx、cube的容器。

      多个白名单之间为或关系,即只要容器Label满足任一白名单即可被采集。

      Label黑名单 用于排除不采集的容器。如果您要设置Label黑名单,那么LabelKey必填,LabelValue可选填。
      • 如果LabelValue为空,则容器Label中包含LabelKey的容器的日志都不被采集。
      • 如果LabelValue不为空,则容器Label中包含LabelKey=LabelValue的容器的日志不被采集。

        LabelValue默认为字符串匹配,即只有LabelValue和容器Label的值完全相同才会匹配。如果该值以^开头并且以$结尾,则为正则匹配。例如:配置LabelKey为io.kubernetes.container.name,配置LabelValue为^(nginx|cube)$,表示可匹配名为nginx、cube的容器。

      多个黑名单之间为或关系,即只要容器Label满足任一黑名单对即不被采集。

    4. 可选:设置环境变量白名单环境变量黑名单
      注意 本文中的环境变量为容器启动中配置的环境变量信息。如何获取,请参见获取容器环境变量
      参数 说明
      环境变量白名单 用于指定待采集的容器。如果您要设置环境变量白名单,那么EnvKey必填,EnvValue可选填。
      • 如果EnvValue为空,则容器环境变量中包含EnvKey的容器的日志都被采集。
      • 如果EnvValue不为空,则容器环境变量中包含EnvKey=EnvValue的容器的日志被采集。

        EnvValue默认为字符串匹配,即只有EnvValue和环境变量的值完全相同才会匹配。如果该值以^开头并且以$结尾,则为正则匹配,例如:配置EnvKey为NGINX_SERVICE_PORT,配置EnvValue为^(80|6379)$,表示可匹配服务端口为80、6379的容器。

      多个白名单之间为或关系,即只要容器的环境变量满足任一键值对即可被采集。

      环境变量黑名单 用于排除不采集的容器。如果您要设置环境变量黑名单,那么EnvKey必填,EnvValue可选填。
      • 如果EnvValue为空,则容器环境变量中包含EnvKey的容器的日志都不被采集。
      • 如果EnvValue不为空,则容器环境变量中包含EnvKey=EnvValue的容器的日志不被采集。

        EnvValue默认为字符串匹配,即只有EnvValue和环境变量的值完全相同才会匹配。如果该值以^开头并且以$结尾,则为正则匹配,例如:配置EnvKey为NGINX_SERVICE_PORT,配置EnvValue为^(80|6379)$,表示可匹配服务端口为80、6379的容器。

      多个黑名单之间为或关系,即只要容器的环境变量满足任一键值对即不被采集。

  7. 预览数据及设置索引,单击下一步
    日志服务默认开启全文索引。您也可以根据采集到的日志,手动或者自动设置字段索引。更多信息,请参见配置索引

配置示例

示例1:通过环境变量黑白名单过滤容器

采集环境变量为NGINX_SERVICE_PORT=80且不为POD_NAMESPACE=kube-system的容器的文本日志,日志文件路径为/var/log/nginx/access.log,日志解析模式为极简模式

  • 获取环境变量

    您可以登录容器所在的宿主机查看容器的环境变量。具体操作,请参见获取容器环境变量

    environment 配置方式示例
  • 创建Logtail采集配置
    Logtail采集配置示例如下图所示。极简模式的相关配置说明请参见使用极简模式采集日志数据源配置示例

示例2:通过Label黑白名单过滤容器

采集容器Label为io.kubernetes.container.name=nginx的容器的文本日志,日志文件路径为/var/log/nginx/access.log,日志解析方式为极简模式

  • 获取容器Label

    您可以登录容器所在的宿主机查看容器的Label。具体操作,请参见获取容器Label

    label方式示例
  • 创建Logtail采集配置
    Logtail采集配置示例如下图所示。极简模式的相关配置说明请参见使用极简模式采集日志数据源设置

默认字段

每条容器文本日志默认包含的字段如下表所示。
字段名称 说明
_image_name_ 镜像名
_container_name_ 容器名
_pod_name_ Pod名
_namespace_ Pod所在的命名空间
_pod_uid_ Pod的唯一标识
_container_ip_ Pod的IP地址