Logtail基本问题

什么是Logtail？

Logtail是日志服务提供的一种便于日志接入的日志采集客户端。在您的机器上安装Logtail后，通过Logtail来监听指定的日志文件，并自动将新写入到文件的日志上传到您所指定的Logstore。

Logtail是否支持采集静态不变的日志文件？

Logtail基于文件系统的修改事件来监听文件的变化，并将实时产生的日志发送到日志服务。如果日志文件没有发生任何修改行为，将不会被Logtail采集。

Logtail支持哪些平台？

• Linux

  • 支持如下版本的Linux x86-64（64位）服务器。

    • Alibaba Cloud Linux 2

    • RedHat Enterprise 6、7、8

    • CentOS Linux 6、7、8

    • Debian GNU/Linux 8、9、10、11

    • Ubuntu 14.04、16.04、18.04、20.04

    • SUSE Linux Enterprise Server 11、12、15

    • OpenSUSE 15.1、15.2、42.3

    • 其他基于glibc 2.5及以上版本的Linux操作系统

  • 支持如下版本的Linux ARM（64位）服务器。

    • Alibaba Cloud Linux 3.2 ARM版

    • Anolis OS 8.2 ARM版及以上版本

    • CentOS 8.4 ARM版

    • Ubuntu 20.04 ARM版

    • Debian 11.2 ARM版

• Windows

  说明

  • 如果是Microsoft Windows Server 2008和Microsoft Windows 7，则支持在其X86版本或X86_64版本中安装Logtail。

  • 如果是其他Windows操作系统，则只支持在其X86_64版本中安装Logtail。

  • Microsoft Windows Server 2008

  • Microsoft Windows Server 2012

  • Microsoft Windows Server 2016

  • Microsoft Windows Server 2019

  • Microsoft Windows Server 2022

  • Microsoft Windows 7

  • Microsoft Windows 10

  • Microsoft Windows Server Version 1909

  • Microsoft Windows Server Version 2004

如何安装、升级Logtail客户端？

• 安装：请参见安装Logtail（ECS实例）、安装Logtail（Linux系统）、安装Logtail（Windows系统）、安装Logtail组件（阿里云Kubernetes集群）。

• 升级：请参见升级Logtail（Linux）、升级Logtail（Windows）、升级Logtail（阿里云Kubernetes集群）、升级（自建Kubernetes集群）。

  重要

  正在使用中的Logtail，只能通过手动升级。

如何配置Logtail采集日志

日志服务支持通过Logtail采集文本日志和容器日志，还支持通过Logtail插件采集日志。具体操作，请参见如下文档。

• 采集主机文本日志

• 通过DaemonSet方式采集Kubernetes容器文本日志

• 通过Sidecar方式采集Kubernetes容器文本日志

• 通过DaemonSet-控制台方式采集Kubernetes容器标准输出

• Logtail输入插件概述

Logtail是如何工作的？

Logtail采集原理包括监听文件、读取文件、处理日志、过滤日志、聚合日志和发送数据等过程。更多信息，请参见Logtail采集详情。

Logtail是否支持日志文件轮转？

Logtail支持日志文件轮转。例如app.LOG文件通过日志文件轮转生成app.LOG.1、app.LOG.2等，Logtail会自动检测到日志文件轮转过程，并保证这个过程中不会丢失日志。

Logtail如何处理网络异常？

• 当网络出现波动时，Logtail会尝试重新发送数据。如果网络持续出现异常，则Logtail会尝试切换备用链路。若无备用链路可用，则会停止采集日志并且保持其正在读取的日志文件处于打开状态，间隔一段时间就进行一次重试。

• 对于1.5.1及以上版本的Logtail，在使用备用链路时Logtail会自动探测默认链路，只要默认链路网络状况良好，则立即切换回默认链路。

• 对于1.5.1以下版本的Logtail，一旦切换至备用链路就会保持在备用链路，只有当备用链路非常不稳定时才会切换回默认链路。如果您的默认链路为内网，则内网短暂异常可能导致数据持续通过公网发送，建议您及时将Logtail版本升级至最新版本以避免该问题。

Logtail日志采集延时如何？

Logtail基于事件进行日志采集，一般会在3秒内将日志发往日志服务。

如何采集历史日志？

如果日志的时间与Logtail处理该日志的系统时间相差5分钟以上，即被认为是历史日志。Logtail默认只采集增量的日志，如果您需要采集历史日志文件，可使用Logtail自带的导入历史日志功能。具体操作，请参见导入历史日志文件。

修改Logtail配置后多久生效？

您在控制台上修改Logtail配置后，Logtail将在3分钟之内加载新配置并生效。

如何排查Logtail采集问题？

Logtail采集问题排查思路如下所示。更多信息，请参见Logtail采集日志失败的排查思路。

1. 确认Logtail心跳状态为OK。

2. 确认日志文件中的日志在实时生成。

3. 确认Logtail配置中的正则表达式与日志内容相匹配。