日志审计创建Logtail配置采集Systemd Journal日志

Logtail支持从原始的二进制文件中采集Linux系统的Systemd Journal日志。本文介绍如何通过日志审计创建Logtail配置采集Kubernetes场景下的Systemd Journal日志。

前提条件

通过日志审计的数据接入功能,在Kubernetes场景下使用Logtail采集宿主机的Systemd Journal日志,本功能只支持Linux系统,并且需要基于最新版本Logtail,如何升级Logtail请参考安装Logtail(Linux系统)

简介

Systemd是专用于Linux操作系统的系统与服务管理器。当作为启动进程(PID=1)运行时,它将作为初始化系统运行,启动并维护各种用户空间的服务。Systemd统一管理所有Unit的日志(包括内核和应用日志),配置文件一般为/etc/systemd/journald.conf

说明

运行的操作系统需支持Journal日志格式。

1. 配置Logtail组件

1.1 配置Logtail

  1. 登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务

    image

  2. 在新版日志审计页面,单击已有的关联Project名称。或者单击关联Project,创建新的关联Project。

    image

  3. 在左侧导航栏,选择数据接入>运行时,单击创建Logtail配置,在下拉列表单击Systemd Journal

    image

  4. 机器组配置页面,选择目标机器组,单击下一步

    image

  5. 数据源设置页面单击完成

1.2 验证配置结果

配置Logtail组件后,日志服务会自动在关联Project下创建如下资源。

  1. 名称为systemd-pipelineconfig的Logtail采集配置。

    image

  2. 名称为systemd-log的Logstore。

    image

2. 查询分析日志

在左侧导航栏选择查询分析>运行时,单击Systemd Journal页签。采集的Systemd Journal日志字段说明,请参见Systemd Journal日志字段说明

image

相关文档