elasticsearch - 如何使用 S3 为 EFK 堆栈配置日志的长期保留？-6ren

elasticsearch - 如何使用 S3 为 EFK 堆栈配置日志的长期保留？

转载作者：行者123 更新时间：2023-12-03 00:45:24

25

4

为安装了 ElasticSearch、FluentD 和 Kibana 的 kubernetes 集群配置 S3 中日志的长期保留的最佳方法是什么？

最佳答案

如果您还没有安装 efk 堆栈，您可以这样做:

helm repo add cryptexlabs https://helm.cryptexlabs.com
helm install my-efk-stack cryptexlabs/efk

或添加到您的 Chart.yaml依赖关系

  - name: efk
    version: 7.8.0
    repository: https://helm.cryptexlabs.com
    condition: efk.enabled

接下来创建一个配置图，其中也将包含您的 AWS secret

apiVersion: v1
kind: ConfigMap
metadata:
  name: fluentd-extra-config
data:
  s3.conf: |-
    <match **>
      @type copy
      copy_mode deep
      <store>
        @type s3
        aws_key_id xxx
        aws_sec_key xxx
        s3_bucket "#{ENV['AWS_S3_BUCKET']}"
        s3_region "#{ENV['AWS_REGION']}"
        path "#{ENV['S3_LOGS_BUCKET_PREFIX']}"
        buffer_path /var/log/fluent/s3
        s3_object_key_format %{path}%{time_slice}/cluster-log-%{index}.%{file_extension}
        time_slice_format %Y%m%d-%H
        time_slice_wait 10m
        flush_interval 60s
        buffer_chunk_limit 256m
      </store>
    </match>

可以选择使用您的 AWS 访问 key 和 ID 创建一个 key ，有关更多信息，请参见下文。不要忘记不透明的 secret 必须是 base64 编码

apiVersion: v1
kind: Secret
metadata:
  name: s3-log-archive-secret
type: Opaque
data:
  AWS_ACCESS_KEY_ID: xxx
  AWS_SECRET_ACCESS_KEY: xxx

如果您想知道为什么我没有为 aws 访问 key 和 ID 使用环境变量，那是因为它不起作用: https://github.com/fluent/fluent-plugin-s3/issues/340 .如果您使用的是 kube-2-iam 或 kiam，那么这无关紧要。请参阅 fluentd s3 插件的文档以将其配置为承担角色而不是使用凭据。
这些值将允许您使用配置映射运行 s3 插件。需要注意的一些重要事项:

我使用“软”的 antiAffinity，因为我运行的是单实例金属集群。

S3_LOGS_BUCKET_PREFIX 为空，因为我为每个环境使用单独的存储桶，但您可以为环境共享一个存储桶并将前缀设置为环境名称

您需要一个扩展 fluent/fluentd-kubernetes-daemonset:v1-debian-elasticsearch 镜像并安装了 s3 插件的 docker 镜像。

如果您跳过了为访问 key 和 ID 创建 secret 的步骤，那么您可以删除 envFrom将 secret 作为环境变量导入。

efk:
  enabled: true
  elasticsearch:
    antiAffinity: "soft"
  fluentd:
    env:
      - name: FLUENT_ELASTICSEARCH_HOST
        value: "elasticsearch-master"
      - name: FLUENT_ELASTICSEARCH_PORT
        value: "9200"
      - name: AWS_REGION
        value: us-east-1
      - name: AWS_S3_BUCKET
        value: your_buck_name_goes_here
      - name: S3_LOGS_BUCKET_PREFIX
        value: ""
    envFrom:
      - secretRef:
          name: s3-log-archive-secret
    extraVolumeMounts:
      - name: extra-config
        mountPath: /fluentd/etc/conf.d
    extraVolumes:
      - name: extra-config
        configMap:
          name: fluentd-extra-config
          items:
            - key: s3.conf
              path: s3.conf
    image:
      repository: docker.io/cryptexlabs/fluentd
      tag: k8s-daemonset-elasticsearch-s3

如果你想制作自己的 docker 镜像，你可以这样做:

FROM fluent/fluentd-kubernetes-daemonset:v1-debian-elasticsearch

RUN fluent-gem install \
 fluent-plugin-s3

接下来是您可能想要为 s3 数据设置保留期。您想在一段时间后将其删除，或者根据您的要求将其移至 Glacier。
最后，由于我们在 S3 中保留了较长时间的日志，我们可以安全地为使用 ElasticSearch Curator 发送到 elasticsearch 的数据设置一个较小的保留期，例如 30 天。
您可以像这样安装 currator:

helm repo add stable https://kubernetes-charts.storage.googleapis.com
helm install curator stable/elasticsearch-curator

或添加到您的 Chart.yaml依赖项:

  - name: elasticsearch-curator
    version: 2.1.5
    repository: https://kubernetes-charts.storage.googleapis.com

values.yaml :

elasticsearch-curator:
  configMaps:
    action_file_yml: |-
      1: &delete
        action: delete_indices
        description: "Delete selected indices"
        options:
          ignore_empty_list: True
          continue_if_exception: True
          timeout_override: 300
        filters:
        - filtertype: pattern
          kind: prefix
          value: 'logstash-'
        - filtertype: age
          source: name
          direction: older
          timestring: '%Y-%m-%d'
          unit: days
          unit_count: 30

关于elasticsearch - 如何使用 S3 为 EFK 堆栈配置日志的长期保留？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/62822716/

25

4

0

文章推荐： mongodb - elasticsearch新的无类型方法

文章推荐： sql - 使用 PowerShell 在 SQL Server 配置管理器中启用 TCP/IP

文章推荐： powershell - 使用Powershell评估负数

文章推荐： html - 具有多个来源的HTML5音频标签

elasticsearch - ElasticSearch:安装插件后，elasticsearch-head
我在这里有一个问题，我不知道这是否正常。但是我认为这里有些湖，安装插件elasticsearch-head之后，我在浏览器中启动url“http://localhost:9200/_plugin/h
elasticsearch - 如何添加到不同的字段值并将其存储在 Elasticsearch python中的另一个字段中( Elasticsearch 字段操作)
我写了这个 flex 搜索查询: es.search(index=['ind1'],doc_type=['doc']) 我得到以下结果: {'_shards': {'failed': 0, 'skip
elasticsearch - Elasticsearch.Net.ElasticSearch.Path已弃用，我应该改用什么？
在ElasticSearch.Net v.5中，存在一个属性 Elasticsearch.Net.RequestData.Path ，该属性在ElasticSearch.Net v.6中已成为depr
elasticsearch - 更改 elasticsearch.yml 后重新加载 elasticsearch
如何让 elasticsearch 应用新配置？我更改了文件 ~ES_HOME/config/elasticsearch.yml 中的一个字符串: # Disable HTTP completely:
elasticsearch - Elasticsearch 部分子串搜索
我正在尝试使用以下分析器在 elastic serach 7.1 中实现部分子字符串搜索 PUT my_index-001 { "settings": { "analysis": {
elasticsearch - elasticsearch 是如何处理不同任务的优先级的？
假设一个 elasticsearch 服务器在很短的时间内接收到 100 个任务。有些任务很短，有些任务很耗时，有些任务是删除任务，有些是插入和搜索查询。 elasticsearch 是如何决定先运行
elasticsearch - Elasticsearch 中的聚合日期范围过滤值
我需要根据日期过滤一组值(在此处添加字段)，然后按 device_id 对其进行分组。所以我正在使用以下东西: { "aggs":{ "dates_between":{ "fi
elasticsearch - 按星期几和时间过滤 Elasticsearch
我在 Elasticsearch 中有一个企业索引。索引中的每个文档代表一个业务，每个业务都有business_hours。我试图允许使用星期几和时间过滤营业时间。例如，我们希望能够进行过滤，以显示我
elasticsearch - Elasticsearch 类型过滤器中的多种类型
我有一个这样的过滤查询 query: { filtered: { query: { bool: { should: [{multi_match: {
elasticsearch - Elasticsearch 中的匹配短语查询中的单个单词是否有字符限制？
Elasticsearch 相当新，所以可能不得不忍受我，我遇到了一个问题，如果我使用 20 个字符或更少的字符搜索文档，文档会出现，但是查询中同一个单词中的任何更多字符，我没有结果: 使用“苯氧甲基
elasticsearch - ElasticSearch 中字符串数组与串联字符串的内部结构
我试图更好地理解 ElasticSearch 的内部结构，所以我想知道 ElasticSearch 在内部计算以下两种情况的术语统计信息的方式是否存在任何差异。第一种情况是当我有这样的文件时: {
elasticsearch - ElasticSearch 中现有字段的补全建议
在我的 elasticsearch 索引中，我索引了一堆工作。为简单起见，我们只说它们是一堆职位。当人们在我的搜索引擎中输入职位时，我想“自动完成”可能的匹配。我在这里调查了完成建议:http://
elasticsearch - Elasticsearch 中多字段和复制到的区别？
我在很多映射中使用多字段。在 Elastic Search 的文档中，指示应将多字段替换为“fields”参数。参见 http://www.elasticsearch.org/guide/en/ela
elasticsearch - Elasticsearch 中的过滤方面
我有如下查询， query = { "query": {"query_string": {"query": "%s" % q}}, "filter":{"ids
elasticsearch - Elasticsearch 日期范围聚合
我有一个Json数据 "hits": [ { "_index": "outboxprov1", "_type": "deleted-c
elasticsearch - Elasticsearch 中的大小参数
这可能是一个初学者的问题，但我对大小有一些疑问。根据 Elasticsearch 规范，大小的最大值可以是 10000，我想在下面验证我的理解: 示例查询: GET testindex-2016.0
elasticsearch - Elasticsearch 滚动行为
我在 Elastic Search 中发现了滚动功能，这看起来非常有趣。看了那么多文档，下面的问题我还是不清楚。如果偏移量已经存在那么为什么要使用滚动？即将到来的记录呢？假设它完成了所有数据的滚动
elasticsearch - Elasticsearch 不区分大小写
我有以下基于注释的 Elasticsearch 配置，我已将索引设置为不被分析，因为我不希望这些字段被标记化: @Document(indexName = "abc", type = "efg
elasticsearch - elasticsearch:单个索引中的多种类型
我正在尝试在单个索引中创建多个类型。例如，我试图在host索引中创建两种类型(post，ytb)，以便在它们之间创建父子关系。 PUT /ytb { "mappings": { "po
elasticsearch - ElasticSearch 中的动态模板失败
我尝试创建一个简单的模板，包括一些动态模板，但我似乎无法为文档编制索引。我得到错误: 400 {"error":"MapperParsingException[mapping [_default_]

首页

博学

6Ren·AI

商城

elasticsearch - 如何使用 S3 为 EFK 堆栈配置日志的长期保留？