添加 Kubernetes 元数据
编辑添加 Kubernetes 元数据
编辑收集日志和指标的输入默认使用此处理器,因此您无需显式配置它。
add_kubernetes_metadata 处理器根据事件来源的 Kubernetes Pod,为每个事件添加相关的元数据注释。启动时,它会检测 in_cluster 环境并缓存 Kubernetes 相关的元数据。
要为事件添加 Kubernetes 相关的元数据注释,Kubernetes 配置必须有效。
每个事件都将添加以下注释:
- Pod 名称
- Pod UID
- 命名空间
- 标签
此外,节点和命名空间元数据将添加到 Pod 元数据中。
add_kubernetes_metadata 处理器有两个基本构建块:
- 索引器
- 匹配器
索引器使用 Pod 元数据为每个 Pod 创建唯一的标识符。这些标识符有助于将观察到的 Pod 的元数据与实际事件相关联。例如,ip_port 索引器可以获取一个 Kubernetes Pod,并根据其所有 pod_ip:container_port 组合为其创建标识符。
匹配器使用事件中的信息构建查找键,这些键与索引器创建的标识符匹配。例如,当 fields 匹配器将 ["metricset.host"] 作为查找字段时,它会使用字段 metricset.host 的值构建查找键。当这些查找键之一与标识符之一匹配时,事件将使用已识别 Pod 的元数据进行丰富。
有关可用索引器和匹配器的更多信息以及一些示例,请参阅 索引器和匹配器。
示例
编辑此配置在 Elastic Agent 作为 Kubernetes 中的 Pod 运行时启用处理器。
- add_kubernetes_metadata:
# Defining indexers and matchers manually is required for {beatname_lc}, for instance:
#indexers:
# - ip_port:
#matchers:
# - fields:
# lookup_fields: ["metricset.host"]
#labels.dedot: true
#annotations.dedot: true
此配置在作为 Kubernetes 节点上进程运行的 Elastic Agent 上启用处理器。
- add_kubernetes_metadata:
host: <hostname>
# If kube_config is not set, KUBECONFIG environment variable will be checked
# and if not present it will fall back to InCluster
kube_config: $Fleet and Elastic Agent Guide [8.16]/.kube/config
# Defining indexers and matchers manually is required for {beatname_lc}, for instance:
#indexers:
# - ip_port:
#matchers:
# - fields:
# lookup_fields: ["metricset.host"]
#labels.dedot: true
#annotations.dedot: true
此配置禁用默认索引器和匹配器,然后启用不同的索引器和匹配器。
- add_kubernetes_metadata:
host: <hostname>
# If kube_config is not set, KUBECONFIG environment variable will be checked
# and if not present it will fall back to InCluster
kube_config: ~/.kube/config
default_indexers.enabled: false
default_matchers.enabled: false
indexers:
- ip_port:
matchers:
- fields:
lookup_fields: ["metricset.host"]
#labels.dedot: true
#annotations.dedot: true
配置设置
编辑Elastic Agent 处理器在摄取管道 *之前* 执行,这意味着它们处理原始事件数据而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅 使用处理器的局限性是什么?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
|
否 |
在无法准确检测 Elastic Agent 的情况下(例如在主机网络模式下运行 Elastic Agent 时),限定 Elastic Agent 的节点。 |
|
|
否 |
|
处理器是否应该在节点级别 ( |
|
否 |
要从中收集元数据的命名空间。如果未指定命名空间,则从所有命名空间收集元数据。 |
|
|
否 |
用于向事件添加额外元数据的过滤器和配置。此设置接受以下设置:
展开以查看示例 add_resource_metadata:
namespace:
include_labels: ["namespacelabel1"]
# use_regex_include: false
# use_regex_exclude: false
# exclude_labels: ["namespacelabel2"]
#labels.dedot: true
#annotations.dedot: true
node:
# use_regex_include: false
include_labels: ["nodelabel2"]
include_annotations: ["nodeannotation1"]
# use_regex_exclude: false
# exclude_annotations: ["nodeannotation2"]
#labels.dedot: true
#annotations.dedot: true
deployment: true
cronjob: true
|
|
|
否 |
如果存在,则为 |
用作 Kubernetes 客户端配置的配置文件。 |
|
否 |
Kubernetes 客户端的其他配置选项。目前支持客户端 QPS 和突发。如果未配置此设置,则使用 Kubernetes 客户端的 默认 QPS 和突发。 展开以查看示例 kube_client_options:
qps: 5
burst: 10
|
|
|
否 |
|
停止容器运行配置之前的空闲时间。 |
|
否 |
列出历史资源的超时。 |
|
|
否 |
|
是否用下划线 (
|
索引器和匹配器
编辑add_kubernetes_metadata 处理器有两个基本构建块:
- 索引器
- 匹配器
索引器
编辑索引器使用 Pod 元数据为每个 Pod 创建唯一的标识符。
可用的索引器包括:
-
container - 使用其容器的 ID 标识 Pod 元数据。
-
ip_port - 使用其 IP 和公开端口的组合标识 Pod 元数据。使用此索引器时,将使用 Pod 所有容器公开的每个端口的
ip:port组合标识元数据。ip是 Pod 的 IP。 -
pod_name - 使用其命名空间和名称作为
namespace/pod_name标识 Pod 元数据。 -
pod_uid - 使用 Pod 的 UID 标识 Pod 元数据。
匹配器
编辑匹配器用于构建与索引创建的标识符匹配的查找键。
可用的匹配器包括:
-
field_format -
使用使用可以包含事件字段的字符串格式创建的键查找 Pod 元数据。
此匹配器有一个选项
format用于定义字符串格式。此字符串格式可以包含事件中任何字段的占位符。例如,以下配置使用
ip_port索引器通过 Pod IP 及其公开端口的组合来标识 Pod 元数据,并使用事件中的目标 IP 和端口作为匹配键:- add_kubernetes_metadata: ... default_indexers.enabled: false default_matchers.enabled: false indexers: - ip_port: matchers: - field_format: format: '%{[destination.ip]}:%{[destination.port]}' -
fields -
使用某些特定字段的值作为键查找 Pod 元数据。定义多个字段时,将使用事件中包含的第一个字段。
此匹配器有一个选项
lookup_fields用于定义其值将用于查找的文件。例如,以下配置使用
ip_port索引器标识 Pod,并定义一个匹配器,该匹配器使用目标 IP 或服务器 IP 进行查找,在事件中找到的第一个。- add_kubernetes_metadata: ... default_indexers.enabled: false default_matchers.enabled: false indexers: - ip_port: matchers: - fields: lookup_fields: ['destination.ip', 'server.ip'] -
logs_path -
使用从
log.file.path字段中存储的日志路径中提取的标识符查找 Pod 元数据。此匹配器具有以下配置设置:
-
logs_path - (可选) 容器日志的基本路径。如果未指定,它将使用 Agent 运行的平台的默认日志路径:对于 Linux -
/var/lib/docker/containers/,Windows -C:\\ProgramData\\Docker\\containers。要更改默认值:容器 ID 必须紧跟在logs_path之后 -<log_path>/<container_id>,其中container_id是一个 64 个字符长的十六进制字符串。 -
resource_type -
(可选) 要获取其 ID 的资源类型。有效的
resource_type:-
pod:基于 Pod UID 进行查找。当resource_type设置为pod时,也必须设置logs_path,在这种情况下支持的路径:-
/var/lib/kubelet/pods/用于从挂载到 Pod 卷中的日志读取日志,这些日志最终位于/var/lib/kubelet/pods/<pod UID>/volumes/<volume name>/...要使用/var/lib/kubelet/pods/作为log_path,必须将/var/lib/kubelet/pods挂载到 Filebeat Pod 中。 -
/var/log/pods/注意:使用resource_type: 'pod'时,日志将仅使用 Pod 元数据进行丰富:Pod ID、Pod 名称等,而不是容器元数据。
-
-
container:基于容器 ID 进行查找,logs_path必须设置为/var/log/containers/。它默认为container。
-
为了能够使用
logs_path匹配器,agent 的输入路径必须是logs_path配置设置中定义的目录的子目录。默认配置能够在从默认 docker 日志路径 (
/var/lib/docker/containers/<container ID>/...on Linux) 收集日志时使用容器 ID 查找元数据。例如,以下配置将在从
/var/lib/kubelet/pods/<pod UID>/...收集日志时使用 Pod UID。- add_kubernetes_metadata: ... default_indexers.enabled: false default_matchers.enabled: false indexers: - pod_uid: matchers: - logs_path: logs_path: '/var/lib/kubelet/pods' resource_type: 'pod' -