D
Size: a a a
2019 December 16
D
тебе нужно получать дату события и сообщении, или ты хочешь парсить сообщения по полям по максимуму?
D
тогда очевидный ответ - написать парсеры под каждую софтину, которая у тебя крутится в докере
D
а, если у тебя там свежая ёлка - то она льёт логи в json - просто прогони их через фильтр
D
ну, например так - https://stedolan.github.io/jq/
D
не хочешь ставить сторонний софт - мучай sed
D
так это логи софта, а не логстеша
D
поправочка - логи софта, которые попали в логи логстеша, который попал в лог контейнера. однофигственно, это логи софта. пиши кастомные паттерны...
D
да
АБ
Короче. Оказалось все просто. Батчи работали криво. (читай вообще не работали)
АБ
Поправили батчинг. Уменьшили к-во потоков. Батч стал быстрее набираться и в целом пропускная способность выросла
D
filebeat.autodiscover:правильный ли конфиг?
providers:
- type: docker
fields:
file: true
templates:
- condition.or:
- contains.docker.container.image: "mysql1"
- contains.docker.container.image: "mysql2"
- contains.docker.container.image: "redis"
config:
- type: container
paths:
- /var/lib/docker/containers/${data.docker.container.id}/*.log
filebeat.autodiscover:
providers:
- type: docker
fields:
file: true
templates:
- condition.or:
- contains.docker.container.image: "nginx"
config:
- type: docker
containers.ids:
- "${data.docker.container.id}"
- module: nginx
access:
enabled: true
containers:
stream: "stdout"
error:
enabled: true
containers:
stream: "stderr"
D
а может попробуешь запустить и проверить?