日志采集中filebeat统一管理统一监控的方案
转载自博客:基于filebeat + logstash的日志收集方案
日志收集是一个很普遍的需求,各个服务的log日志,打点日志都需要收集起来做离线etl或实时分析。日志收集工具也有很多开源的可供选择,flume, logstash, filebeat等等。 目前360商业化最主要的日志收集场景是投放引擎端的打点日志收集,中间件服务日志收集,这两种场景都是日志先持久化在本地,然后通过日志收集工具收集。
技术选型
投放引擎对资源占用比较敏感, 所以在收集工具的选择上我们对比下来filebeat相比于基于jvm的工具在资源占用上优势还是很明显的,而且支持的一些特性也是能很好满足我们要求的。如果需要日志汇聚层我们选用的是logstash, 因为与filebeat都是elastic家的产品,集成起来方便。
fliebeat版本选用的是目前stable版本7.14,支持kafka sasl scram授权认证方式, 老的版本不一定支持。logstash版本选用的是目前stable版本7.14。
当前我们主要使用的是filebeat的log input, kafka output, 得益于filebeat的可扩展性,其他input, output也能很好支持。
filebeat底层主要依赖libbeat库来完成日志收集,libbeat提供publisher来对接inputs, 进入到libbeat后会经过processors的一系列加工处理。 libbeat封装了retry与ack反馈持久化机制,可以保证日志收集的完整性。
要用好filebeat涉及到很多配置,以下列出比较重要的:
-
processors配置: 可以对event做很多加工, 比如add_fields,add_labels, add_tags, rename, drop_event等等
-
Inputs配置: 定义各种input配置。
-
Moduels: 对各种开源组件的日志收集支持,这些modules针对各个组件的日志做了parse与结构化处理,同时集成了ES, Kibana, 为这些开源组件提供一整套日志收集展示方案。
-
HTTP endpoint: 配置http rest api获取metrics。
接下来介绍filebeat两个比较重要的机制,收集meta持久化机制和反压机制, 正是通过这两个机制filebeat才能保证日志收集的at least once语义。
1. filebeat收集meta持久化机制
这个机制很重要,因为这个涉及到日志收集的完整性保障,日志重放等问题。在filebeat run之后,在其根目录下会有data/registry/filebeat/log.json 文件, 这其中记录了filebeat收集meta持久化信息:
{"op":"set","id":1}
{"k":"filebeat::logs::native::3162611-64768","v":{"id":"native::3162611-64768","prev_id":"","source":"/root/ysptest1.log","offset":0,"ttl":-1,"type":"log","timestamp":[2061828726851,1628151202],"FileStateOS":{"inode":3162611,"device":64768},"identifier_name":"native"}}
{"op":"set","id":2}
{"k":"filebeat::logs::native::3162611-64768","v":{"id":"native::3162611-64768","prev_id":"","timestamp":[2061975276931,1628151203],"ttl":-1,"FileStateOS":{"inode":3162611,"device":64768},"identifier_name":"native","source":"/root/ysptest1.log","offset":165,"type":"log"}}其中记录了input type, source端文件路径以及当前收集到的offset,时间戳, 还有用于唯一标识文件的inode, device信息。ack确认反馈会从output端一直反馈到input端,input端收到ack确认后会负责将meta信息持久化到这个文件中。
通过收集meta持久化机制我们能清楚得知道哪些文件收集完成了,哪些文件正在收集以及正在收集文件的offset, 在必要的情况下,通过修改这个持久化文件可以做到日志重新收集的目的, 或者干脆将data文件夹删除,那么所有本地日志都会重新收集。
2. filebeat反压机制
如果outputs一直发送失败,会有retry机制尝试,然后日志在internel queue堆积,internel queue满了inputs端就会停止收集,queue中日志的ack反馈也会迟迟得不到确认, 文件的offset信息也不会更新. 这样就达到了一个反压的效果。举个例子如果下游kafka集群不可用, 那么outputs就会失败,慢慢internel queue就会full,inputs收集也会停止。这正是我们想要的效果, 在下游出问题的时候,文件保持在本地磁盘是安全的。通过filebeat的收集meta持久化机制以及反压机制就可以保证在极端情况下的at least once语义。
日志收集方案
设计目标:
-
提供统一运维监控管理,降低运维成本。
-
收集的日志可以同时满足实时,离线需求。
-
日志收集pipeline支持反压,支持at least once语义,支持日志重放。
-
跨IDC容灾,支持动态修改agent配置,将日志收集定向到其他IDC。
设计方案:
-
提供一键agent部署脚本,提供agentManager管理metrcis上报与agent配置修改动态感知
-
将kafka作为统一日志收集目的地。
-
logstash 作为日志汇聚层, 避免agent过多对kafka带来压力。
-
监控告警: 获取filebeat,logstash metrics并解析成prom格式上报给prometheus, 通过grafana展示,提供实例级别的监控,对收集延迟,失败及时告警, 对收集的日志count进行统计,方便对数。
-
产品化集成到ultron平台,基于项目粒度进行统一管理,运维,监控。
以下是日志收集的总体架构示意图:
对于日志收集处理可以分为如下四个层次:
日志收集agent层:
我们选用filebeat作为日志收集agent,同时会有一个伴生的agentManager来对agent做管理,抽取metrics并发送到pushgateway, 对配置修改动态感知
日志汇聚层:
这是个可选层,分以下两种情况:
对于agent不是很多的case, 直接采用filebeat + kafka的方案是很高效的
对于agent很多的case,我们提供logstash汇聚层来对收集数据汇总然后发送给kafka, 避免对kafka造成连接过多的问题
DataBus层:
我们将日志采集统一到kafka, 这样离线实时需求都可以得到满足, 我们在每个IDC都有kafka集群,这样当某个IDC不可用时,动态修改filebeat配置即可完成重新收集,相当于具备了跨IDC容灾的能力。
异构传输层:
这一层主要是对收集日志的处理使用, 我们当前通过自研的hamal2落hdfs/hive为离线etl提供支持, 通过flink/spark/storm/druid/clickhouse等实时消费处理。hamal2是我们基于flink实现的一个异构数据同步传输框架,用于Kafka数据实时入仓入湖。
下面主要介绍两种方案:
filebeat —> kafka 直连, 这是目前主要在用的方案。
filebeat —> logstash —> kafka 这个方案加入了logstash汇聚层。
filebeat —> kafka
对于agent不是很多的场景, 直接使用filebeat kafka output写入kafka是高效简洁的方式, 根据我们上面阐述的filebeat收集meta持久化机制和反压机制,在kafka有问题写入不成功的情况下,会触发filebeat反压, 日志收集文件的offset也将停止持久化,这样是符合我们预期的。目前360商业化没有有很多agent的场景, 所以主要使用这种模式。
下面是filebeat-->kafka的简单架构示意图:
filebeat.yml 配置示例:
filebeat.inputs:
- type: log
enabled: true
paths:
- /root/test*.log
fields:
topic_name: test
- type: log
enabled: true
paths:
- /root/test2*.log
fields:
topic_name: test2
output.kafka:
version: 2.0.0
hosts: ["xxx:9092", "xxx:9092", "xxx:9092"]
# message topic selection + partitioning
topic: '%{[fields.topic_name]}'
partition.round_robin:
reachable_only: false
required_acks: 1
compression: lz4
max_message_bytes: 10000000
sasl.mechanism: SCRAM-SHA-256
username: xxx
password: xxx
worker: 1 # producer实例数
refresh_frequency: 5m
codec.format:
string: '%{[message]}' # 定义输出的日志,默认是带有很多meta信息的json string
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
# 定义http endpoint, 用于获取metrics
http.enabled: true
http.host: your host
http.port: 5066
简单说明下上面的配置, 这个配置是filebeat直接使用kafka output写入kafka, filebeat.inputs部分定义了两个log type收集目录,并且通过fields添加了对应的topic名, 在output.kafka中通过topic: '%{[fields.topic_name]}’ 动态定义了topic.
还有比较重要的配置是codec.format,可以重新定义输出日志的格式。
filebeat-->logstash-->kafka
对于agent有很多的场景, 我们需要加入logstash汇聚层, 因为这可以避免大量filebeat直连kafka,对kafka连接负载造成压力。至于为什么选择logstash, 因为filebeat与logstash都是elastic家的产品,集成起来很方便, filebeat直接有logstash的output. 需要注意的是加入汇聚层对日志的完整性,稳定性保障都会带来挑战。
为了保障日志的完整性,我们依赖logstash的persistent queues(PQ)机制与反压机制:
-
persistent queues(PQ): 默认是不开启的,日志会先写内存queue再output出去,但这种方式在异常情况下会丢数据, 为了保证日志完整性,我们必须开启PQ,开启后所有日志将先持久化到disk然后再output出去, 这样可以做到at least once语义,可以通过配置queue.type来开启PQ:
queue.type: persisted
queue.max_bytes: 8gb
queue.max_events: 3000000
path.queue: /path/to/queuefile
通过logstash的PQ机制以及反压机制就可以保证在极端情况下整个pipeline的at least once语义。
下面是filebeat-->logstash-->kafka的简单架构示意图:
为了方便logstash的运维管理, 我们将其部署在k8s集群, 由于logstash向外暴露的是tcp端口,我们通过nginx ingress + vip实现4层lvs。这样就可以根据其负载动态扩缩容了,而且可以提供一个统一的域名入口。
filebeat.yml 示例:
filebeat.inputs: - type: log enabled: true paths: - /root/test*.log fields: topic_name: test kafka_cluster: cluster1 - type: log enabled: true paths: - /root/test2*.log fields: topic_name: test2 kafka_cluster: cluster2 output.logstash: hosts: ["logstash.k8s.domain:5044"] # 定义http endpoint, 用于获取metrics http.enabled: true http.host: your host http.port: 5066
简单说明下上面的配置, 这个配置是filebeat使用logstash output写入logstash, filebeat.inputs部分定义了两个log type收集目录,并且通过fields添加了对应的topic_name, kafka_cluster, 其中增加的kafka_cluster是logstash将日志分拣到不同集群使用的。
output.logstash中定义的logstash.k8s.domain:5044 其实是一个lvs域名端口,其后对应了多个logstash实例。这里我们没有使用filebeat的loadbalance设置,因为不是很灵活。
logstash.yml示例
queue.type: persisted queue.max_bytes: 8gb queue.max_events: 3000000 path.queue: /path/to/queuefile
logstash-pipeline.conf 示例
input { beats { port => "5044" } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}"} } } output { stdout { codec => rubydebug {metadata => true}} if [fields][kafka_cluster] == "xxx" { # 日志分拣 kafka { codec => plain { format => '{ message:"%{message}"}' } bootstrap_servers => "xxx:9092,xxx:9092,xxx:9092" topic_id => "%{[fields][topic_name]}" compression_type => "lz4" } } if [fields][kafka_cluster] == "xxx" { # 日志分拣 kafka { codec => plain { format => '{ message:"%{message}"}' } bootstrap_servers => "xxx:9092,xxx:9092,xxx:9092" topic_id => "%{[fields][topic_name]}" jaas_path => "/root/logstash/kafka-jaas.conf" # 支持SASL SCRAM sasl_mechanism => "SCRAM-SHA-256" security_protocol => "SASL_PLAINTEXT" compression_type => "lz4" } } }
简单说明下上面的配置, 通过filter plugin过滤出日志, output kafka plugin中通过filebeat传过来的fields分拣出日志发往不同的kafka集群, 其中codec可以定义要输出到kafka的日志格式。
监控
filebeat的Monitor是要收费的, 免费的filebeat版本只能从http endpoint来获取metrics,需要自己解析后写入pushgateway, 然后通过prometheus --> grafana展示出来。logstash的Monitor也是收费的,类似filebeat,提供rest api来获取metrics, 需要自己解析后写入pushgateway, 然后通过prometheus --> grafana展示出来。
以下是filebeat监控截图, 主要就是将http endpoint中的metrics都展示出来:
总结
基于filebeat的agent非常轻量级,依赖少,资源占用少,支持丰富的inputs, modules, outputs, 非常易于扩展。 logstash作为汇聚层部署在k8s集群, 通过4层lvs提供统一域名端口, 实现实例弹性扩展。 filebeat, logstash都具有持久化与反压机制, 都支持at least once语义, 从而保障了日志收集的完整性。
参考资料:
https://www.elastic.co/guide/en/beats/filebeat/current/index.html
https://www.elastic.co/guide/en/logstash/current/index.html
https://cloud.tencent.com/developer/article/1634020
posted on 2023-08-23 18:54 luzhouxiaoshuai 阅读(668) 评论(0) 编辑 收藏 举报