Logtail支持从原始的二进制文件中采集Linux系统的Systemd Journal日志。本文介绍如何通过日志审计创建Logtail配置采集Kubernetes场景下的Systemd Journal日志。
前提条件
通过日志审计的数据接入功能,在Kubernetes场景下使用Logtail采集宿主机的Systemd Journal日志,本功能只支持Linux系统,并且需要基于最新版本Logtail,如何升级Logtail请参考安装Logtail(Linux系统)。
简介
Systemd是专用于Linux操作系统的系统与服务管理器。当作为启动进程(PID=1)运行时,它将作为初始化系统运行,启动并维护各种用户空间的服务。Systemd统一管理所有Unit的日志(包括内核和应用日志),配置文件一般为/etc/systemd/journald.conf。
运行的操作系统需支持Journal日志格式。
1. 配置Logtail组件
1.1 配置Logtail
登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务。
在新版日志审计页面,单击已有的关联Project名称。或者单击关联Project,创建新的关联Project。
在左侧导航栏,选择数据接入>运行时,单击创建Logtail配置,在下拉列表单击Systemd Journal。
在机器组配置页面,选择目标机器组,单击下一步。
在数据源设置页面单击完成。
1.2 验证配置结果
配置Logtail组件后,日志服务会自动在关联Project下创建如下资源。
名称为
systemd-pipelineconfig的Logtail采集配置。
名称为
systemd-log的Logstore。
2. 查询分析日志
在左侧导航栏选择查询分析>运行时,单击Systemd Journal页签。采集的Systemd Journal日志字段说明,请参见Systemd Journal日志字段说明。
相关文档
查询语法,请参见查询语法。
采集的Systemd Journal日志字段说明,请参见Systemd Journal日志字段说明。
通过日志服务控制台创建Logtail配置采集Systemd Journal日志,请参见采集Systemd Journal日志。