• 日志风格：以key-value的field形式输出结构化的日志。
• 输出时机： error日志一定都需要打印，info日志结合业务需求适当打印，日志只需要在业务层关注，model和util等不需要打印。
• 输出格式：线上以json的格式打印日志，方便解析日志。线下为了方便查看，可以用自定义的format打印日志，线上和线下的日志格式通过etcd来控制。
• 输出内容： 每一条日志都要携带logid、method、host和level，并且根据不同业务场景，需要携带不同业务的标识field，例如projectType、platform、payType等。
• 用context来传递不同goroutine之间的共享信息。

// logrotate config of sample

// rotate every day, and keep for 3 days

/var/log/sample.log {

    daily

    rotate 3

    maxsize 1G

    missingok

    sharedscripts

    postrotate

        # 在切分时向程序发送SIGHUP信号

        killall -SIGHUP bin_sample

    endscript

}   

filebeat:

    spool_size: 1024                                    # 最大可以攒够 1024 条数据一起发送出去

    idle_timeout: "5s"                                  # 否则每 5 秒钟也得发送一次

    registry_file: "registry"                           # 文件读取位置记录文件，会放在当前工作目录下。

    config_dir: "path/to/configs/contains/many/yaml"    # 如果配置过长，可以通过目录加载方式拆分配置

    prospectors:                                        # 有相同配置参数的可以归类为一个 prospector

        -

            fields:

                log_source: "sample"                    # 类似 logstash 的 add_fields，此处的"log_source"用来标识该日志来源于哪个项目

            paths:

                - /var/log/system.log                   # 指明读取文件的位置

                - /var/log/wifi.log

            include_lines: ["^ERR", "^WARN"]            # 只发送包含这些字样的日志

            exclude_lines: ["^OK"]                      # 不发送包含这些字样的日志

        -

            document_type: "apache"                     # 定义写入 ES 时的 _type 值

            ignore_older: "24h"                         # 超过 24 小时没更新内容的文件不再监听。

            scan_frequency: "10s"                       # 每 10 秒钟扫描一次目录，更新通配符匹配上的文件列表

            tail_files: false                           # 是否从文件末尾开始读取

            harvester_buffer_size: 16384                # 实际读取文件时，每次读取 16384 字节

            backoff: "1s"                               # 每 1 秒检测一次文件是否有新的一行内容需要读取

            paths:

                - "/var/log/apache/*"                   # 可以使用通配符

            exclude_files: ["/var/log/apache/error.log"]

        -

            input_type: "stdin"                         # 除了 "log"，还有 "stdin"

            multiline:                                  # 多行合并

                pattern: '^[[:space:]]'

                negate: false

                match: after

output:

    logstash:

    hosts: ["localhost:5044"]                          # The Logstash hosts   

input {

    beats {

        port => "5044"

    }

}

// The filter part of this file is commented out to indicate that it is

// optional.

filter {

    if [beat] and [source] =~ "sample" {

        json {

            source => "message"

        }

        ruby {

            code => "event.set('time',(Time.parse(event.get('time')).to_f*1000000).to_i)"

        }

    }

}

output {

    if [beat] and [source] =~ "sample" {

        stdout { codec => rubydebug }

    }

}   

// 业务日志输出时时间戳格式化到微秒：2006-01-02T15:04:05.999999Z07:00

 

// Logstash的filter根据时间戳转换

filter {

    ruby {

        code => "event.set('time',(Time.parse(event.get('time')).to_f*1000000).to_i)"

    }

}   

[smtp]

enabled = true

host = smtp.exmail.qq.com:465

user = alert@qingsongchou.com

password = ********

from_address = alert@qingsongchou.com

from_user = Grafana

A：我们用Go自己实现的一个报警引擎，独立于Grafana。

A：我们目前的日质量大概每天2亿条，高峰时候每小时2000万条左右。Logstash运行的还可以，如果后期遇到手机慢，做简单的方式是扩机器，先解决问题，再想更好的优化策略。

A：针对常用的服务，grok已经提供了一些正则的pattern，例如你提到的Nginx、MySQL。目前是每增加一个就需要修改grok，后期可以实现一个UI来提高修改效率。

A：Logstash有很完善的文档，感兴趣的话可以参考https://www.elastic.co/guide/en/logstash/current/index.html

A：当时选择了ELK，就没有做太多的选型了，Logstash吃内存的问题现在还不是太突出。

A：Filebeat和Logstash的输出插件都有一些重试的策略，但是也免不了日志丢失。日志的完整性确实和保证日志不丢也是我们目前在尝试解决的问题。

A：肯定是要考虑高可用，当后期更多的业务依赖监控系统后，就要保证监控系统不挂，查询要快，实时监控，报警准确等。

A：通过循环读取文件的方式，记录文件offset。

A：Filebeat没有满足我们产品基于Docker的需求，等于上面加了Docker的逻辑。

A：其实并没有，但是如果是内部使用，能规约好当然更好，可以更方便的处理，而且可以做更细粒度的分析。

A：对于日志内容的分析还没做，例如Nginx请求日志还是有分析意义的。

A：用过Syslog后来因为容器内的文件日志需求重新开发的。

1. 监控文件，并通过管道转出数据。这种方案最大的问题是日志文件和容器是绑定的，因此需要有一个 agent 的角色来做这件事，变相的增加了开发成本，还要考虑管道的可靠性问题。另外 CentOS 6系和7系日志地址不一样，如果硬编码则扩展性不佳，如果读取系统配置，那就要考虑跨系统之间的路径问题。

1. 通过`docker logs api`来远程重定向日志。这种方法最大的问题是你避免不了还是得有 agent 去清理日志这么个操作，否则的话磁盘依然会被打满，当然也可以配合 logrotate 来做这事，不过增加了运维成本。如果是远端调用这个 API 的话，需要考虑连接的可靠性，一旦出现重连，那就要做日志回溯，否则会丢失一部分日志。

1. 容器内进程自己写出日志。这又有两种方案，如下：

1. 使用新版的 log-driver 参数，其中包含支持 syslog，看似很美好，但是在集群环境下要考虑 syslog 单点问题。一般来说会有多个 syslog 或者支持 syslog 协议的远端 server （logstash）。如果使用远程 syslog 接受日志，大量容器日志输出并不平均，从而会产生性能热点和流量热点。如果走单机 syslog 再汇总，那就和上面的方案『进程直接输出』没多大区别了，同样是跟踪问题比较麻烦。我觉得目前这个实现更多的是方便了之前使用 syslog 方案的。

1. 通过attach 方法截获容器输出流重定向。这种方案需要 agent 支持，有一定开发要求。目前我们采用的就是这种方案，通过一个模块实现了 consistent hash，然后把日志流量打到远端收集服务器上。这个方案只需要让业务把日志输出到 stdout/stderr 中即可，并不会增加开发成本。同时Docker 1.6中可以指定日志驱动为 none，避免了 logs 文件的产生。另外一方面可以把容器自己的 meta info 附加到日志流里面，从而实现远端的日志检索分类聚合等操作。但这个方案最大的问题是开发力量的投入，不同的 dockeclient 实现质量也不一样，当然好处也是很明显的，灵活可控，日志流向和分配都在自己受伤。

1. 默认 NAT/BR/HOST，NAT 有性能损失，BR 有网络闪断，HOST 流控不好做，端口冲突靠业务保证没法做到透明。
2. 网络层方案

• 一个单独的 fluentd 进程收集机器上所有容器的日志。不需要为每个容器启动一个 fluentd 进程。
• 支持文件日志和 stdout。docker log dirver 亦或 logspout 只能处理 stdout，fluentd-pilot 不仅支持收集 stdout 日志，还可以收集文件日志。
• 声明式配置。当您的容器有日志要收集，只要通过 label 声明要收集的日志文件的路径，无需改动其他任何配置，fluentd-pilot 就会自动收集新容器的日志。
• 支持多种日志存储方式。无论是强大的阿里云日志服务，还是比较流行的 elasticsearch 组合，甚至是 graylog，fluentd-pilot 都能把日志投递到正确的地点。

version: '2'services:  pilot:    image: registry.cn-hangzhou.aliyuncs.com/acs-sample/fluentd-pilot:0.1    environment:      ELASTICSEARCH_HOST: elasticsearch      ELASTICSEARCH_PORT: '9200'      FLUENTD_OUTPUT: elasticsearch    external_links:    - es-cluster/es-master:elasticsearch    volumes:    - /var/run/docker.sock:/var/run/docker.sock    - /:/host    labels:      aliyun.global: 'true'

aliyun.logs.tomcat1-access   /opt/apache-tomcat-8.0.14/logs/localhost_access_log.*.txt aliyun.logs.catalina   stdout

• 变量name是日志名称，具体指随便是什么，你高兴就好。只能包含0-9a-zA-Z_和-
• 变量path是要收集的日志路径，必须具体到文件，不能只写目录。文件名部分可以使用通配符。/var/log/he.log和/var/log/*.log都是正确的值，但/var/log不行，不能只写到目录。stdout是一个特殊值，表示标准输出

• none 无格式纯文本
• json: json格式，每行一个完整的json字符串
• csv: csv格式

• aliyun.logs.access.tags="name=hello,stage=test"，上报到存储的日志里就会出现name字段和stage字段
• 如果使用elasticsearch作为日志存储，target这个tag具有特殊含义，表示elasticsearch里对应的index

• 日志风格：以key-value的field形式输出结构化的日志。
• 输出时机： error日志一定都需要打印，info日志结合业务需求适当打印，日志只需要在业务层关注，model和util等不需要打印。
• 输出格式：线上以json的格式打印日志，方便解析日志。线下为了方便查看，可以用自定义的format打印日志，线上和线下的日志格式通过etcd来控制。
• 输出内容： 每一条日志都要携带logid、method、host和level，并且根据不同业务场景，需要携带不同业务的标识field，例如projectType、platform、payType等。
• 用context来传递不同goroutine之间的共享信息。

// logrotate config of sample

// rotate every day, and keep for 3 days

/var/log/sample.log {

    daily

    rotate 3

    maxsize 1G

    missingok

    sharedscripts

    postrotate

        # 在切分时向程序发送SIGHUP信号

        killall -SIGHUP bin_sample

    endscript

}   

filebeat:

    spool_size: 1024                                    # 最大可以攒够 1024 条数据一起发送出去

    idle_timeout: "5s"                                  # 否则每 5 秒钟也得发送一次

    registry_file: "registry"                           # 文件读取位置记录文件，会放在当前工作目录下。

    config_dir: "path/to/configs/contains/many/yaml"    # 如果配置过长，可以通过目录加载方式拆分配置

    prospectors:                                        # 有相同配置参数的可以归类为一个 prospector

        -

            fields:

                log_source: "sample"                    # 类似 logstash 的 add_fields，此处的"log_source"用来标识该日志来源于哪个项目

            paths:

                - /var/log/system.log                   # 指明读取文件的位置

                - /var/log/wifi.log

            include_lines: ["^ERR", "^WARN"]            # 只发送包含这些字样的日志

            exclude_lines: ["^OK"]                      # 不发送包含这些字样的日志

        -

            document_type: "apache"                     # 定义写入 ES 时的 _type 值

            ignore_older: "24h"                         # 超过 24 小时没更新内容的文件不再监听。

            scan_frequency: "10s"                       # 每 10 秒钟扫描一次目录，更新通配符匹配上的文件列表

            tail_files: false                           # 是否从文件末尾开始读取

            harvester_buffer_size: 16384                # 实际读取文件时，每次读取 16384 字节

            backoff: "1s"                               # 每 1 秒检测一次文件是否有新的一行内容需要读取

            paths:

                - "/var/log/apache/*"                   # 可以使用通配符

            exclude_files: ["/var/log/apache/error.log"]

        -

            input_type: "stdin"                         # 除了 "log"，还有 "stdin"

            multiline:                                  # 多行合并

                pattern: '^[[:space:]]'

                negate: false

                match: after

output:

    logstash:

    hosts: ["localhost:5044"]                          # The Logstash hosts   

input {

    beats {

        port => "5044"

    }

}

// The filter part of this file is commented out to indicate that it is

// optional.

filter {

    if [beat] and [source] =~ "sample" {

        json {

            source => "message"

        }

        ruby {

            code => "event.set('time',(Time.parse(event.get('time')).to_f*1000000).to_i)"

        }

    }

}

output {

    if [beat] and [source] =~ "sample" {

        stdout { codec => rubydebug }

    }

}   

// 业务日志输出时时间戳格式化到微秒：2006-01-02T15:04:05.999999Z07:00

 

// Logstash的filter根据时间戳转换

filter {

    ruby {

        code => "event.set('time',(Time.parse(event.get('time')).to_f*1000000).to_i)"

    }

}   

[smtp]

enabled = true

host = smtp.exmail.qq.com:465

user = alert@qingsongchou.com

password = ********

from_address = alert@qingsongchou.com

from_user = Grafana

A：我们用Go自己实现的一个报警引擎，独立于Grafana。

A：我们目前的日质量大概每天2亿条，高峰时候每小时2000万条左右。Logstash运行的还可以，如果后期遇到手机慢，做简单的方式是扩机器，先解决问题，再想更好的优化策略。

A：针对常用的服务，grok已经提供了一些正则的pattern，例如你提到的Nginx、MySQL。目前是每增加一个就需要修改grok，后期可以实现一个UI来提高修改效率。

A：Logstash有很完善的文档，感兴趣的话可以参考https://www.elastic.co/guide/en/logstash/current/index.html

A：当时选择了ELK，就没有做太多的选型了，Logstash吃内存的问题现在还不是太突出。

A：Filebeat和Logstash的输出插件都有一些重试的策略，但是也免不了日志丢失。日志的完整性确实和保证日志不丢也是我们目前在尝试解决的问题。

A：肯定是要考虑高可用，当后期更多的业务依赖监控系统后，就要保证监控系统不挂，查询要快，实时监控，报警准确等。

【编者的话】Daniel Berman（Logz.io产品经理）为了纪念Docker四岁生日，撰写一系列文章，介绍如何使用ELK收集和处理Dockerized环境日志。小数今天给大家带来的第一部分将介绍如何安装各个组件以及不同日志收集方案的特点，下一部分将侧重于分析和可视化，近期发出，记得关注我们噢~
>
> PS：工程师们已奔赴奥斯汀DockerCON2017现场，更多最佳实践后天为您奉上！

sudo docker ps



CONTAINER ID        IMAGE                     COMMAND                  CREATED             STATUS              PORTS                                            NAMES



73aedc3939ad        dockerelk_kibana          "/bin/sh -c /usr/l..."   7 minutes ago       Up 6 minutes        0.0.0.0:5601->5601/tcp                           dockerelk_kibana_1



b684045be3d6        dockerelk_logstash        "logstash -f /usr/..."   7 minutes ago       Up 6 minutes        0.0.0.0:5000->5000/tcp                           dockerelk_logstash_1



a5778b8e4e6a        dockerelk_elasticsearch   "/bin/bash bin/es-..."   7 minutes ago       Up 7 minutes        0.0.0.0:9200->9200/tcp, 0.0.0.0:9300->9300/tcp   dockerelk_elasticsearch_1 

document_type: syslog
output:
logstash:
enabled: true
hosts:
- elk:5044
```

# 使用日志驱动

Docker从1.12开始支持Logging Driver，允许将Docker日志路由到指定的第三方日志转发层，可将日志转发到AWS CloudWatch，Fluentd，GELF或NAT服务器。

使用logging drivers比较简单，它们需要为每个容器指定，并且将需要在日志的接收端进行其他配置。

在将日志发送到ELK的上下文中，使用syslog日志驱动可能是最简单的方法。


下面是一个指定Logging Driver的例子:
```
docker run \
--log-driver=syslog \
--log-opt syslog-address=tcp://:5000
\ --log-opt syslog-facility=daemon
\ alpine ash
```

如此这样运行每一个容器，结果是将Docker容器日志流输出到syslog实例，这些日志将转发到Logstash容器进行解析和数据增强，进入Elasticsearch。


# 使用Logspout

Logspout是Docker流行和轻量级的（15.2MB）日志路由器，它将附加到主机中的所有容器，并将Docker日志流输出到syslog服务器（除非定义了不同的输出目标）。
```
sudo docker run -d --name="logspout" --volume=/var/run/docker.sock:/var/run/docker.sock gliderlabs/logspout syslog+tls://:5000
```

使用Logstash module直接将日志路由到Logstash容器，但这需要其他配置和编译工作。


# Logz.io的日志采集器


本人在 In this blog post这篇文章中介绍了Logz.io的日志采集器，像Logspout一样，它附加在Docker主机中的所有容器上，但它不仅运送Docker日志，还包含Docker统计信息和Docker守护程序事件。
```
docker run -d --restart=always -v /var/run/docker.sock:/var/run/docker.sock logzio/logzio-docker -t
```

目前它是为Logz.io ELK 套件的用户设计的，我们正在努力将它开源项目。


数据持久化


配置Logstash来解析数据至关重要，因为这部分过程将添加上下文到容器的日志中，并能够更轻松地分析数据。

在Logstash配置文件中需要配置三个主要部分：输入，过滤和输出。 （若运行的是Logstash 5.x，则该文件位于：/ usr / share / logstash / pipeline）

输入取决于日志传送方式，使用Filebeat，则需要指定Beats输入插件。如果使用logspout或syslog日志记录驱动程序，则需要将syslog定义为输入。

过滤器部分包含用于分解日志消息的所有过滤器插件，依赖于正在记录的容器类型以及该特定容器生成的日志消息。

这部分的配置没有捷径，因为每个容器都输出不同类型的日志。有很多尝试和错误涉及，但是有一些在线工具可参考, 比如:Grok Debugger。

导出部分将指定Logstash输出，例子中是Elasticsearch容器。

以下是通过syslog发送的Docker日志的基本Logstash配置示例。注意一系列过滤器的使用（grok，date，mutate和if条件）：

input {

 syslog {

      port => 5000

      type => "docker"

      }

}



filter {

      grok {

            match => { "message" => "%{SYSLOG5424PRI}%{NONNEGINT:ver} +(?:%{TIMESTAMP_ISO8601:ts}|-) +(?:%{HOSTNAME:service}|-) +(?:%{NOTSPACE:containerName}|-) +(?:%{NOTSPACE:proc}|-) +(?:%{WORD:msgid}|-) +(?:%{SYSLOG5424SD:sd}|-|) +%{GREEDYDATA:msg}" }

      }

      syslog_pri { }

      date {

            match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]

      }

      mutate {

            remove_field => [ "message", "priority", "ts", "severity", "facility", "facility_label", "severity_label", "syslog5424_pri", "proc", "syslog_severity_code", "syslog_facility_code", "syslog_facility", "syslog_severity", "syslog_hostname", "syslog_message", "syslog_timestamp", "ver" ]

      }

      mutate {

            remove_tag => [ "_grokparsefailure_sysloginput" ]

      }

      mutate {

            gsub => [

                  "service", "[0123456789-]", ""

            ]

      }

      if [msg] =~ "^ *{" {

            json {

                  source => "msg"

            }

            if "_jsonparsefailure" in [tags] {

                  drop {}

            }

            mutate {

                  remove_field => [ "msg" ]

            }

      }

}



output {

 elasticsearch {

      hosts => "elasticsearch:9200"

      }

}



重新启动Logstash容器以应用新的配置。检查Elasticsearch索引,确保日志流能正常工作：

```
curl 'localhost:9200/_cat/indices?v'
```

具有Logstash模式的索引：

health status index               uuid                   pri rep docs.count docs.deleted store.size pri.store.size



yellow open   logstash-2017.03.05 kgJ0P6jmQjOLNTSmnxsZWQ   5   1          3            0     10.1kb         10.1kb



yellow open   .kibana             09NHQ-TnQQmRBnVE2Y93Kw   1   1          1            0      3.2kb          3.2kb

打开Kibana的页面


Kibana已经创建了'logstash- *' 索引是标识，按下“创建”按钮，可在Kibana中看到日志。


结语

Docker日志记录没有完美的方案，无论选择什么解决方案，使用日志记录驱动程序，Filebeat还是SaaS监控平台，每个方案都有优缺点。值得一提的是，Docker日志很有用，但它们只代表由Docker主机生成的数据的一个维度，检索容器统计信息和守护程序事件等还需要额外的日志记录层。

综上所述，Logz.io日志收集器提供了一个全面的日志解决方案，将三个数据流一起拉到ELK中。如需统计数据，建议尝试一下Dockerbeat.本系列的下一部分将重点介绍如何在Kibana中分析和可视化Docker日志。Docker 生日快乐!

Daniel Berman是Logz.io产品经理。擅长日志分析、大数据、云计算,热爱家庭,喜欢跑步,Liverpool FC和写颠覆性的技术内容。

原文链接：https://logz.io/blog/docker-logging/

诀窍：如需启用Kubernetes标签，请设置Kubernetes=1

提示: 如果要创建自定义模式，请在Rancher Catalog模板里把它们添加到叫做LOGAGENT_PATTERNS的字段里。

诀窍: 如果需要开启Geo-IP增强功能，请设置环境变量GEOIP_ENABLED=true。

原文来源：Rancher Labs
> 原文作者：Stefan Thies
> 译者：彭攀（Alan Peng），Rancher中国社区技术专家委员会成员。现为睿云智合项目交付团队技术负责人。

A：通过循环读取文件的方式，记录文件offset。

A：Filebeat没有满足我们产品基于Docker的需求，等于上面加了Docker的逻辑。

A：其实并没有，但是如果是内部使用，能规约好当然更好，可以更方便的处理，而且可以做更细粒度的分析。

A：对于日志内容的分析还没做，例如Nginx请求日志还是有分析意义的。

A：用过Syslog后来因为容器内的文件日志需求重新开发的。

version: '2'

services:

        elasticsearch:

            image: elasticsearch:2.2.0

            container_name: elasticsearch 

            restart: always

            network_mode: "bridge"

            ports:

                - "9200:9200"

                - "9300:9300"

            volumes:

                - ./data:/usr/share/elasticsearch/data

version: '2'

services:

    logstash:

        image: logstash:2.2.0-1

        container_name: logstash 

        restart: always

        network_mode: "bridge"

        ports:

          - "5044:5044"

          - "4560:4560"

          - "8080:8080"

        volumes:

          - ./conf:/config-dir

          - ./patterns:/opt/logstash/patterns

        external_links:

          - elasticsearch:elasticsearch

        command: logstash -f /config-dir

version: '2'

services:

    filebeat:

        image: olinicola/filebeat:1.0.1 

        container_name: filebeat 

        restart: always

        network_mode: "bridge"

        extra_hosts:

          - "logstash:127.0.0.1"

        volumes:

          - ./conf/filebeat.yml:/etc/filebeat/filebeat.yml

          - /data/logs:/data/logs

          - /var/log:/var/host/log

          - ./registry:/etc/registry

version: '2'

services:

    kibana:

        image: kibana:4.4.0

        container_name: kibana 

        restart: always

        network_mode: "bridge"

        ports:

          - "5601:5601"

        external_links:

          - elasticsearch:elasticsearch

    log_format  logstash  '$remote_addr - $remote_user [$time_local] "$request" '

                  '$status $body_bytes_sent "$http_referer" '

                  '"$http_user_agent" "$http_x_forwarded_for" '

                  '"$http_host" "$upstream_addr" '

                  '$request_time $upstream_response_time';



    access_log  /data/logs/nginx/access.log  logstash;

log4j.rootLogger = INFO,logstash



# Push to Logstash

# 注意：RemoteHost 等信息可能变化，根据具体情况配置

log4j.appender.logstash=org.apache.log4j.net.SocketAppender

log4j.appender.logstash.Port=4560

log4j.appender.logstash.RemoteHost=your-logstash-host

log4j.appender.logstash.ReconnectionDelay=60000

log4j.appender.logstash.LocationInfo=true