Fluentd数据处理模型理论深入tag与多级tagtag是Fluentd和fluent bit都有的机制
123456789101112131415161718192021222324252627282930K8s节点 → Fluent Bit → Fluentd → ES ↓ ↓ ↓ 生成Tag 基于Tag路由 基于内容存储 ↓ ↓ ↓ kube.** 匹配规则 索引选择 第一层:Fluent Bit的Tag路由# Fluent Bit配置示例[INPUT] Name tail Tag kube.nginx # 生成Tag[OUTPUT] Name forward Match kub...
特性
Logstash (ELK)
Fluent Bit (EFK)
开发语言
JRuby (依赖 JVM,内存大户)
C (极度轻量,几 MB 内存)
配置风格
三段式 (Input/Filter/Output)
插件化配置,更模块化
生态地位
传统的企业级日志中心
云原生、K8s、嵌入式设备的首选
处理能力
插件极其丰富,处理逻辑极强
偏重转发,逻辑相对简单
Fluent Bit + Fluentd的配合
12345678910111213141.Fluent Bit在 K8s 每一个节点(Node)上以 DaemonSet 方式运行把...
GeoIP(实时全球威胁地图)GeoIP 是一种将 IP 地址 映射到 地理位置(经纬度、国家、城市、邮政编码)的技术。Logstash 默认内置了 geoip 插件
添加filiter字段
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748# 只有当 src_ip 字段存在时,才执行地理位置查询if [src_ip] { geoip { source => "src_ip" # 数据源字段 target => &...
创建一个lens图表X 轴(时间):依赖 date 插件的纠偏,否则历史数据会全部堆积在”现在”指标(数值):依赖 mutate 的强转,否则无法进行平均值、最大值或范围聚合。维度(拆分):依赖 grok 的精准切分(如 auth_result)。
我准备使用两周时间重新学习和理解EFK/ELK体系,之前我也学习过,但是因为没有实际可操作的项目,所以很快就忘记了,以下是AI(gemini)给我提供的学习方案
学习方案第一阶段:核心基石与可视化(第 1 - 3 天)目标:搞定存储端 Elasticsearch 和展示端 Kibana,理解数据的”家”是怎么建的。
第 1 天:Elasticsearch 架构与索引原理
复习倒排索引(Inverted Index)和分片(Shards/Replicas)的概念。
实战: 使用 Docker 部署一个三节点的 ES 集群。手动通过 curl 或 Kibana Dev ...