EFK Kubernetes 堆栈中不存在主机日志

Question

我正在使用kube-fluentd-operator使用fluentd将日志fluentd到Elasticsearch并在Kibana查询它们。

我可以在集群内看到我的应用程序（pod）日志。 但是，我无法从集群内的主机看到日志日志（systemd 单元、kubelet 等）。

fluentd 的 pods 日志中没有明显的消息，堆栈适用于来自应用程序的日志。 在fluentd容器内，我可以访问/var/log/journal目录（ drwxr-sr-x 3 root 101 4096 May 21 12:37 journal ）。 我应该在哪里查看我的 EFK 堆栈中的日志日志？

这是附加到kube-system命名空间的kube-system.conf文件：

<match systemd.** kube.kube-system.** k8s.** docker>
  # all k8s-internal and OS-level logs

  @type elasticsearch
  host "logs-es-http.logs"
  port "9200"
  scheme "https"
  ssl_verify false
  user "u1"
  password "password"
  logstash_format true
  #with_transporter_log true
  #@log_level debug
  validate_client_version true
  ssl_version TLSv1_2
</match>

根据文档，最小，简单。

我的搜索词有可能是错误的吗？ 我应该搜索什么才能获取日志日志？

Answer 1

在尝试了所有可能的解决方案（从启用log_level debug到仅监控kube-system命名空间，再到将runAsGroup: 101添加到容器）之后，我剩下的就是改变我用于日志聚合的内容，并决定从fluent自己提供的DaemonSet那个操作符： https : //github.com/fluent/fluentd-kubernetes-daemonset

此切换已被证明是成功的，并且在 EFK 堆栈内部搜索systemd单元。