Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Logs an Amazon senden CloudWatch
oTEL Container Insights sammelt und sendet Container-Logs mithilfe der CloudWatch OpenTelemetry Collector-Log-Pipeline an Amazon Logs. Das Amazon CloudWatch Observability EKS-Add-on stellt einen OpenTelemetry Collector bereit DaemonSet , der den Filelog-Empfänger verwendet, um Container-Protokolldateien zu verfolgen, sie mit Kubernetes-Metadaten anzureichern und sie über den Logs-Exporter in Logs zu CloudWatch exportieren. CloudWatch
Für die grundlegende Protokollerfassung ist keine zusätzliche Einrichtung erforderlich. Die Protokollerfassung ist standardmäßig aktiviert, wenn Sie dem folgenSchnellstart: oTEL Container Insights auf Amazon EKS.
Voraussetzungen
Bevor Sie die Protokollerfassung konfigurieren, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen.
-
oTEL Container Insights ist installiert und das
amazon-cloudwatch-observabilityAdd-on ist auf Ihrem Cluster aktiv -
IAM-Berechtigungen:
logs:CreateLogGroup,logs:CreateLogStream,logs:PutLogEventslogs:DescribeLogGroups, undlogs:DescribeLogStreams(in derCloudWatchAgentServerPolicyverwalteten Richtlinie enthalten) -
Knotenzugriff: Der Collector benötigt Zugriff
/var/log/podsauf jeden Knoten
Gruppen und Quellen protokollieren
In der folgenden Tabelle werden die Protokollgruppe beschrieben, die oTEL Container Insights erstellt, und die Quelle, aus der sie sammelt.
| Protokollgruppe | Quelle | Inhalt |
|---|---|---|
/aws/containerinsights/ |
/var/log/pods/**/*.log |
Alle Container-Stdout- und Stderr-Protokolle |
Anmerkung
Host- und Datenebenenprotokolle werden in einer future Version verfügbar sein.
Wie funktioniert die OTel-Protokollpipeline
Der OpenTelemetry Collector des Add-ons führt eine Log-Pipeline mit den folgenden Komponenten aus.
-
Empfänger — Der
filelogEmpfänger versendet Container-Protokolldateien von/var/log/pods/. -
Prozessoren — Der
k8sattributesProzessor reichert Logs mit Kubernetes-Metadaten an. DerbatchProzessor stapelt Protokolldatensätze vor dem Export. DerresourceProzessor hängt Ressourcenattribute an. -
Exporteure — Der
awscloudwatchlogsExporteur sendet Protokolldatensätze an Logs. CloudWatch
Anreicherung von Protokollen
Die Pipeline reichert jeden Protokolldatensatz mit den folgenden Attributen an.
-
Kubernetes-Ressourcenattribute —
k8s.pod.name,,k8s.namespace.name, undk8s.container.namek8s.node.namek8s.deployment.name -
Pod-Labels — Alle Pod-Labels als Attribute
k8s.pod.label.* -
Cloud-Attribute —
cloud.regioncloud.account.id, undcloud.platform -
Cluster-Attribute —
k8s.cluster.name
Anpassen der Protokollerfassung
Sie können die Protokollerfassung anpassen, indem Sie die Konfigurationswerte des Add-ons aktualisieren. In den folgenden Abschnitten werden allgemeine Anpassungsoptionen beschrieben.
Deaktivieren Sie die Protokollerfassung
Um die Protokollerfassung vollständig zu deaktivieren, aktualisieren Sie die Add-On-Konfiguration mit deaktivierten Container-Protokollen.
Um die Protokollerfassung zu deaktivieren
-
Führen Sie den folgenden Befehl aus.
cluster-nameErsetzen Sie durch den Namen Ihres Amazon EKS-Clusters.aws eks update-addon \ --cluster-namecluster-name\ --addon-name amazon-cloudwatch-observability \ --configuration-values '{"containerLogs":{"enabled":false}}' \ --resolve-conflicts OVERWRITE
Schließen Sie Namespaces von der Protokollsammlung aus
Verwenden Sie die Konfigurationsoption, um bestimmte Namespaces von der Protokollerfassung auszuschließen. excludeNamespaces
Um Namespaces von der Protokollsammlung auszuschließen
-
Führen Sie den folgenden Befehl aus.
cluster-nameErsetzen Sie durch den Namen Ihres Amazon EKS-Clusters. Ersetzen Sie die Namespace-Werte durch die Namespaces, die Sie ausschließen möchten.aws eks update-addon \ --cluster-namecluster-name\ --addon-name amazon-cloudwatch-observability \ --configuration-values '{"containerLogs":{"enabled":true,"excludeNamespaces":["kube-system","load-testing","monitoring"]}}' \ --resolve-conflicts OVERWRITE
Schließt nur bestimmte Namespaces ein
Verwenden Sie die Konfigurationsoption, um nur Protokolle von bestimmten Namespaces zu sammeln. includeNamespaces
Um nur bestimmte Namespaces einzubeziehen
-
Führen Sie den folgenden Befehl aus.
cluster-nameErsetzen Sie durch den Namen Ihres Amazon EKS-Clusters. Ersetzen Sie die Namespace-Werte durch die Namespaces, die Sie einbeziehen möchten.aws eks update-addon \ --cluster-namecluster-name\ --addon-name amazon-cloudwatch-observability \ --configuration-values '{"containerLogs":{"enabled":true,"includeNamespaces":["production","staging"]}}' \ --resolve-conflicts OVERWRITE
Konfigurieren Sie die mehrzeilige Protokollanalyse
Um mehrzeilige Protokolleinträge (wie Stack-Traces) in einem einzigen Protokolldatensatz zu kombinieren, konfigurieren Sie das mehrzeilige Parsen mit einem Muster für die erste Zeile.
Um das mehrzeilige Log-Parsing zu konfigurieren
-
Führen Sie den folgenden Befehl aus.
cluster-nameErsetzen Sie durch den Namen Ihres Amazon EKS-Clusters. Ersetzen Sie denfirstLinePatternWert durch ein Regex-Muster, das der ersten Zeile jedes Protokolleintrags entspricht.aws eks update-addon \ --cluster-namecluster-name\ --addon-name amazon-cloudwatch-observability \ --configuration-values '{"containerLogs":{"enabled":true,"multilineConfig":{"firstLinePattern":"^\\d{4}-\\d{2}-\\d{2}|^\\[\\d{4}","parseFormat":"auto"}}}' \ --resolve-conflicts OVERWRITE
Legen Sie die Protokollaufbewahrung fest
Standardmäßig speichert CloudWatch Logs Protokolldaten auf unbestimmte Zeit. Um die Speicherkosten zu kontrollieren, können Sie eine Aufbewahrungsrichtlinie für die Protokollgruppe festlegen.
Um die Aufbewahrung von Protokollen festzulegen
-
Führen Sie den folgenden Befehl aus.
cluster-nameErsetzen Sie durch den Namen Ihres Amazon EKS-Clusters.30Ersetzen Sie es durch die Anzahl der Tage, für die Protokolle aufbewahrt werden sollen.aws logs put-retention-policy \ --log-group-name "/aws/containerinsights/cluster-name/application" \ --retention-in-days30
Verifizierung
Um zu überprüfen, ob die Protokollerfassung funktioniert, überprüfen Sie, ob die erwarteten Protokollgruppen vorhanden sind und Daten enthalten.
Um die Protokollerfassung zu überprüfen
-
Führen Sie den folgenden Befehl aus.
cluster-nameErsetzen Sie durch den Namen Ihres Amazon EKS-Clusters.aws logs describe-log-groups \ --log-group-name-prefix "/aws/containerinsights/cluster-name" \ --query "logGroups[].{Name:logGroupName,StoredBytes:storedBytes}" \ --output tableIn der Ausgabe werden die Namen der Protokollgruppen und die Anzahl der gespeicherten Byte angezeigt. Ein Wert ungleich Null für
StoredBytesbestätigt, dass die Pipeline Protokolle liefert.
Fehlerbehebung
Verwenden Sie die folgenden Anleitungen, um häufig auftretende Probleme bei der Protokollerfassung zu lösen.
Protokollgruppen wurden nach 5 Minuten nicht erstellt
Symptom: Die /aws/containerinsights/ Protokollgruppe wird nach 5 Minuten nicht in den CloudWatch Protokollen angezeigt.cluster-name/application
Ursache: Der Collector verfügt nicht über die erforderlichen IAM-Berechtigungen, um Protokollgruppen und Protokollstreams zu erstellen.
Lösung: Stellen Sie sicher, dass die dem Collector zugeordnete IAM-Rolle mit der CloudWatchAgentServerPolicy verwalteten Richtlinie verknüpft ist. Diese Richtlinie umfasst die logs:CreateLogStream Berechtigungen logs:CreateLogGroup und.
Die Anwendungsprotokollgruppe ist vorhanden, aber leer
Symptom: Die Anwendungsprotokollgruppe ist in CloudWatch Logs vorhanden, sie enthält jedoch keine Protokollstreams oder Protokollereignisse.
Ursache: Dieses Problem tritt auf, wenn Container nicht auf stdout oder stderr schreiben oder der Filelog-Empfänger nicht auf den Knoten zugreifen kann. /var/log/pods/
Lösung: Gehen Sie wie folgt vor, um dieses Problem zu beheben.
-
Stellen Sie sicher, dass Ihre Anwendungscontainer Protokolle auf stdout oder stderr schreiben.
-
Vergewissern Sie sich, dass der DaemonSet Collector-Pod über ein Volume Mount für verfügt.
/var/log/podskubectl get daemonset -n amazon-cloudwatch -o yaml | grep -A 5 "var/log/pods" -
Überprüfen Sie die Collector-Protokolle auf Fehler beim Dateizugriff.
kubectl logs -n amazon-cloudwatch -l app.kubernetes.io/name=cloudwatch-agent --tail=50 | grep -i "error\|permission"
Hohe CloudWatch Protokollkosten
Symptom: Die Kosten für die Aufnahme oder Speicherung von CloudWatch Protokollen sind höher als erwartet.
Ursache: High-volume Namespaces (wie Namespaces für Lasttests oder Überwachung) erzeugen große Mengen an Protokollen.
Lösung: Führen Sie die folgenden Schritte aus, um die Kosten zu senken.
-
Schließen Sie Namespaces mit hohem Volumen von der Protokollerfassung aus. Detaillierte Anweisungen finden Sie unter Schließen Sie Namespaces von der Protokollsammlung aus.
-
Legen Sie eine Aufbewahrungsrichtlinie für die Protokollgruppe fest, um ältere Protokolle automatisch zu löschen. Detaillierte Anweisungen finden Sie unter Legen Sie die Protokollaufbewahrung fest.