Различия

Показаны различия между двумя версиями страницы.

--- software:fluent-bit-loki-grafana:fluent-bit:docker-swarm-2 [2025/11/26 00:35] – mirocow
+++ software:fluent-bit-loki-grafana:fluent-bit:docker-swarm-2 [2025/12/06 03:35] (текущий) – mirocow
@@ Строка 1: / Строка 1: @@
-====== Обработка многострочных логов ======
+====== Обработка логов Docker ======
 === fluent-bit.conf ===
@@ Строка 23: / Строка 23: @@
     Parser            docker
     Refresh_Interval  10
+    Ignore_Older      1h
     Docker_Mode       On
-    Docker_Mode_Flush 4
     Tag               docker.<file_name>
-    Tag_Regex         (?<file_name>[a-z0-9]*)-json.log
+    Tag_Regex         (?<file_name>[a-f0-9]*)-json.log
     Mem_Buf_Limit     50MB
     Skip_Long_Lines   On
@@ Строка 32: / Строка 32: @@
     DB.sync           normal
     Storage.Type      filesystem
-    Read_from_Head    true
+    Read_from_Head    false
-# Парсинг JSON логов GitLab
+# Только для отладки
-[FILTER]
+# [INPUT]
-    Name parser
+#     Name              tail
-    Match docker.*
+#     Path              /var/lib/docker/containers/*/*.log
-    Key_Name log
+#     Parser            docker
-    Parser json_auto
+#     Refresh_Interval  10
-    Reserve_Data On
+#     Docker_Mode       On
-    Preserve_Key On
+#     Tag               docker.<file_name>
+#     Tag_Regex         (?<file_name>[a-f0-9]*)-json.log
+#     Mem_Buf_Limit     50MB
+#     Skip_Long_Lines   On
+#     DB                /var/log/flb-storage/flb_db.db
+#     DB.sync           normal
+#     Storage.Type      filesystem
+#     Read_from_Head    true
-# Метаданные Docker
+# Фильтруем пустые логи
 [FILTER]
-    name                lua
+    name                grep
     match               docker.*
-    script              /fluent-bit/bin/docker-metadata.lua
+    Exclude             log ^$
-    call                enrich_with_docker_metadata
+    Exclude             log ^\s*$
+    Exclude             log ^==>.+<==$
 # Извлекаем сырой лог
@@ Строка 55: / Строка 63: @@
     match               docker.*
     copy                log raw_log
+    copy                exception.backtrace exception_backtrace
+    copy                exception.class exception_class
+    copy                exception.message exception_message
-# Фильтруем пустые логи
+# Очищаем docker.* - оставляем ТОЛЬКО нужные поля
 [FILTER]
-    name                grep
+    name                record_modifier
     match               docker.*
-    Exclude             raw_log ^$
-    Exclude             raw_log ^\s*$
-    Exclude             raw_log ^==>.+<==$
-    Exclude             raw_log ^{"message":"\s*"}$
-# Обработка многострочных логов GitLab
+    whitelist_key       date
+    whitelist_key       log
+    whitelist_key       raw_log
+    whitelist_key       exception_backtrace
+    whitelist_key       exception_class
+    whitelist_key       exception_message
+    whitelist_key       method
+    whitelist_key       path
+    whitelist_key       action
+    whitelist_key       status
+    whitelist_key       remote_ip
+    whitelist_key       controller
+    whitelist_key       line_id
+#
+# FILTERS
+#
 [FILTER]
-    Name multiline
+    name                parser
-    Match docker.*
+    match               docker.*
-    multiline.key_content log
+    key_name            raw_log
-    multiline.parser java, go, python, ruby
+    parser              nginx_access
+    reserve_data        true
-# Парсеры для специфичных форматов
 [FILTER]
     name                parser
@@ Строка 78: / Строка 103: @@
     key_name            raw_log
     parser              gitlab_json
+    reserve_data        true
+[FILTER]
+    name                parser
+    match               docker.*
+    key_name            raw_log
+    parser              gitlab_registry
     reserve_data        true
@@ Строка 91: / Строка 123: @@
     match               docker.*
     key_name            raw_log
-    parser              nginx_access
+    parser              mysql_error
+    reserve_data        true
+[FILTER]
+    name                parser
+    match               docker.*
+    key_name            raw_log
+    parser              mysql_slow
     reserve_data        true
@@ Строка 101: / Строка 140: @@
     reserve_data        true
-# Остальные парсеры
+[FILTER]
+    name                parser
+    match               docker.*
+    key_name            raw_log
+    parser              postgresql_detailed
+    reserve_data        true
+[FILTER]
+    name                parser
+    match               docker.*
+    key_name            raw_log
+    parser              nextcloud_access
+    reserve_data        true
+    Preserve_Key        true
+[FILTER]
+    name                parser
+    match               docker.*
+    key_name            raw_log
+    parser              apache_access
+    reserve_data        true
+[FILTER]
+    name                parser
+    match               docker.*
+    key_name            raw_log
+    parser              php_fpm
+    reserve_data        true
+[FILTER]
+    name                parser
+    match               docker.*
+    key_name            raw_log
+    parser              grafana_regex
+    reserve_data        true
-# Структуризация распарсенных полей из raw_log
+# Структуризация распарсенных полей В raw_log
 [FILTER]
     name                nest
@@ Строка 119: / Строка 190: @@
     wildcard            logger
     wildcard            endpoint
+    wildcard            pluginId
+    wildcard            dsName
+    wildcard            dsUID
+    wildcard            uname
     wildcard            level
     wildcard            msg
     wildcard            statusCode
     wildcard            resourcePath
-    wildcard            correlation_id
+    wildcard            exception
-    wildcard            component
-    wildcard            severity
-    wildcard            grpc.*
     nest_under          parsed_data
-# Копируем метаданные полей GitLab
+#
+# FILTERS
+#
+# Метаданные Docker
+[FILTER]
+    name                lua
+    match               docker.*
+    script              /fluent-bit/bin/docker-metadata.lua
+    call                enrich_with_docker_metadata
+# Копируем метаданные
 [FILTER]
     name                modify
@@ Строка 136: / Строка 219: @@
     copy                docker.container_started started
     copy                docker.container_name container_name
+    copy                docker.container_name service_name
     copy                docker.container_id container_id
     copy                docker.state state
     copy                docker.stream stream
+    copy                docker.line_id line_id
     copy                log _raw
     copy                parsed_data _parsed
+    # copy                exception_class _class
+    # copy                exception_message _message
+    # copy                exception_backtrace _backtrace
-    # docker compose
+    copy                docker.label_project project
-    copy                docker.label_compose_project compose_project
+    copy                docker.label_service service
-    copy                docker.label_compose_service compose_service
+    copy                docker.label_logging logging
+    copy                docker.label_logging_jobname logging_jobname
-    # docker swarm
-    copy                docker.Label_stack_name stack_name
-    copy                docker.Label_service_name service_name
-    copy                docker.Label_service_id service_id
-    copy                docker.Label_task_name task_name
-    copy                docker.Label_task_id task_id
-    copy                docker.Label_node_id node_id
-    # Labels
-    copy                docker.Label_logging logging
-    copy                docker.Label_logging_jobname logging_jobname
 # Структурируем через nest
@@ Строка 174: / Строка 252: @@
     set                 node_name ${NODE_NAME}
     set                 host_name ${NODE_NAME}
-    set                 log_source docker_swarm
-    set                 environment production
 # Перетагиваем только логи с enabled logging
@@ Строка 181: / Строка 257: @@
     name                rewrite_tag
     match               docker.*
-    rule                $logging ^enabled$ data.$container_name.$TAG true
+    rule                $logging ^enabled$ data.$container_id true
-# Очищаем data.* для GitLab
 [FILTER]
     name                record_modifier
     match               data.*
+    whitelist_key       date
     whitelist_key       log
-    whitelist_key       started
+    whitelist_key       exception_class
+    whitelist_key       exception_message
+    whitelist_key       exception_backtrace
+    whitelist_key       method
+    whitelist_key       path
+    whitelist_key       action
+    whitelist_key       status
+    whitelist_key       remote_ip
+    whitelist_key       controller
+    whitelist_key       line_id
+    whitelist_key       node_id
+    whitelist_key       node_name
+    whitelist_key       host_name
     whitelist_key       hostname
-    whitelist_key       state
+    whitelist_key       started
-    whitelist_key       container_id
     whitelist_key       container_name
-    whitelist_key       logging
+    whitelist_key       service_name
-    whitelist_key       logging_jobname
+    whitelist_key       container_id
     whitelist_key       stream
-    whitelist_key       node_name
+    whitelist_key       project
-    whitelist_key       host_name
+    whitelist_key       service
-    whitelist_key       log_source
+    whitelist_key       logging_jobname
-    whitelist_key       environment
-    # docker compose
-    whitelist_key       compose_project
-    whitelist_key       compose_service
-    # docker swarm
-    whitelist_key       stack_name
-    whitelist_key       service_name
-    whitelist_key       service_id
-    whitelist_key       task_name
-    whitelist_key       task_id
-    whitelist_key       node_id
 [OUTPUT]
@@ Строка 218: / Строка 295: @@
     host                loki
     port                3100
-    labels              job=$logging_jobname, node_name=$node_name, container_name=$container_name, service_name=$service_name, stack_name=$stack_name, environment=$environment
+    labels              job=$logging_jobname, node_name=$node_name, container_id=$container_id, container_name=$container_name, service_name=$service_name, project=$project, service=$service, level=$stream
-    label_keys          container_name,service_name,stack_name,node_name,environment
+    label_keys          $node_name,$container_id,$container_name,$service_name,$project,$service
     line_format         json
     auto_kubernetes_labels off
-    drop_single_key     false
-    remove_keys         docker_id
-# OUTPUT для отладки
+# Только для отладки
 # [OUTPUT]
 #     name                stdout
@@ Строка 232: / Строка 307: @@
 </code>
-=== parsers_multiline.conf ===
+=== parsers.conf ===
 <code ini>
+# Базовый парсер для Docker JSON логов
 [PARSER]
     Name        docker
@@ Строка 242: / Строка 318: @@
     Time_Keep   On
+# Nginx access логи
 [PARSER]
-    Name        json_auto
+    Name        nginx_access
-    Format      json
+    Format      regex
-    Time_Key    time
+    Regex       ^(?<remote_ip>[^ ]*) - - \[(?<timestamp>[^\]]*)\] "(?<method>\w+) (?<path>[^ ]*) HTTP/[0-9.]+" (?<status>\d+) (?<body_bytes>\d+) "(?<referrer>[^"]*)" "(?<user_agent>[^"]*)"
-    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
+    Time_Key    timestamp
-    Time_Keep   On
+    Time_Format %d/%b/%Y:%H:%M:%S %z
-# GitLab JSON логи
+# Gitlab JSON логи (application logs)
 [PARSER]
     Name        gitlab_json
     Format      json
+    # Time_Key    time    # Используем время из Docker
+    Time_Keep   On
+# GitLab Registry логи
+[PARSER]
+    Name        gitlab_registry
+    Format      regex
+    Regex       ^\d{4}-\d{2}-\d{2}_\d{2}:\d{2}:\d{2}\.\d+ time="(?<time>[^"]*)" level=(?<level>\w+) msg="(?<msg>[^"]*)"(?<rest>.*)
     Time_Key    time
     Time_Format %Y-%m-%dT%H:%M:%S.%LZ
@@ Строка 261: / Строка 346: @@
     Name        sidekiq_json
     Format      json
-    Time_Key    time
+    # Time_Key    time    # Используем время из Docker
-    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
     Time_Keep   On
-# Nginx access логи
+# Nextcloud Apache-style логи
 [PARSER]
-    Name        nginx_access
+    Name        nextcloud_access
     Format      regex
-    Regex       ^(?<remote>[^ ]*) (?<host>[^ ]*) (?<user>[^ ]*) \[(?<time>[^\]]*)\] "(?<method>\S+)(?: +(?<path>[^\"]*?)(?: +\S*)?)?" (?<code>[^ ]*) (?<size>[^ ]*)(?: "(?<referer>[^\"]*)" "(?<agent>[^\"]*)")?$
+    Regex       ^(?<remote_ip>[^ ]*) (?<user_ident>[^ ]*) (?<user_id>[^ ]*) \[(?<timestamp>[^\]]*)\] "(?<method>\w+) (?<path>[^ ]*) HTTP/[0-9.]+" (?<status>\d+) (?<body_bytes>\d+) "(?<referrer>[^"]*)" "(?<user_agent>[^"]*)"
-    Time_Key    time
+    Time_Key    timestamp
+    Time_Format %d/%b/%Y:%H:%M:%S %z  # ← Apache/Nginx формат!
+    Time_Keep   On
+# Apache access логи
+[PARSER]
+    Name        apache_access
+    Format      regex
+    Regex       ^(?<remote_ip>[^ ]*) - - \[(?<timestamp>[^\]]*)\] "(?<method>\w+) (?<path>[^ ]*) HTTP/[0-9.]+" (?<status>\d+) (?<body_bytes>\d+) "(?<referrer>[^"]*)" "(?<user_agent>[^"]*)"
+    Time_Key    timestamp
     Time_Format %d/%b/%Y:%H:%M:%S %z
+# MySQL error логи
+[PARSER]
+    Name        mysql_error
+    Format      regex
+    Regex       ^(?<timestamp>\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.\d+Z) (?<level>\w+) (?<message>.*)
+    Time_Key    timestamp
+    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
+    Time_Keep   On
+# MySQL slow query логи
+[PARSER]
+    Name        mysql_slow
+    Format      regex
+    Regex       ^# Time: (?<timestamp>\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.\d+Z).*# User@Host: (?<user>[^\[]*)\[(?<database>[^\]]*)\] @ (?<host>[\w\.]*)\s*\[(?<ip>[\d\.]*)\].*# Query_time: (?<query_time>[\d\.]*) Lock_time: (?<lock_time>[\d\.]*) Rows_sent: (?<rows_sent>\d*) Rows_examined: (?<rows_examined>\d*).*use (?<used_database>\w*);.*SET timestamp=(?<timestamp_unix>\d*);(?<query>.*)
+    Time_Key    timestamp
+    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
     Time_Keep   On
@@ Строка 278: / Строка 388: @@
     Name        postgresql
     Format      regex
-    Regex       ^(?<time>\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2} \S+)\s+(?<pid>\d+)\s+(?<level>\w+)\s*:\s*(?<message>.*)$
+    Regex       ^(?<timestamp>\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}.\d+ [A-Z]{3}) \[(?<pid>\d+)\] (?<level>\w+):\s*(?<message>.*)
-    Time_Key    time
+    Time_Key    timestamp
-    Time_Format %Y-%m-%d %H:%M:%S %Z
+    Time_Format %Y-%m-%d %H:%M:%S.%L %Z
     Time_Keep   On
-# Многострочные парсеры для GitLab
+# PostgreSQL extended логи (с деталями запросов)
 [PARSER]
-    Name        gitlab_multiline_firstline
+    Name        postgresql_detailed
     Format      regex
-    Regex       ^\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z|^{\"time\":\"\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z
+    Regex       ^(?<timestamp>\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}.\d+ [A-Z]{3}) \[(?<pid>\d+)\] (?<level>\w+):\s*duration: (?<duration>[\d\.]*) ms\s*(?<message>.*)
+    Time_Key    timestamp
+    Time_Format %Y-%m-%d %H:%M:%S.%L %Z
+    Time_Keep   On
-[MULTILINE_PARSER]
+# PHP-FPM логи
-    Name          gitlab_multiline
+[PARSER]
-    Type          regex
+    Name        php_fpm
-    Flush_Timeout 1000
+    Format      regex
-    Rule          "start_state" "^\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z|^{\"time\":\"\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z" "cont"
+    Regex       ^\[(?<timestamp>[^\]]+)\] (?<level>\w+): (?<message>.*)
-    Rule          "cont" "^(?!\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z|^{\"time\":\"\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z).*" "cont"
+    Time_Key    timestamp
+    Time_Format %d-%b-%Y %H:%M:%S
+    Time_Keep   On
+# Стандартный syslog
+[PARSER]
+    Name        syslog_rfc3164
+    Format      regex
+    Regex       ^\<(?<pri>[0-9]+)\>(?<timestamp>[^ ]* {1,2}[^ ]* [^ ]*) (?<host>[^ ]*) (?<ident>[a-zA-Z0-9_\/\.\-]*)(?:\[(?<pid>[0-9]+)\])?(?:[^\:]*\:)? (?<message>.*)$
+    Time_Key    timestamp
+    Time_Format %b %d %H:%M:%S
+    Time_Keep   On
+# Grafana лог формата key=value
+[PARSER]
+    Name        grafana_logfmt
+    Format      logfmt
+    Time_Key    t
+    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
+    Time_Keep   On
+[PARSER]
+    Name        grafana_regex
+    Format      regex
+    Regex       logger=(?<logger>[^ ]*) endpoint=(?<endpoint>[^ ]*) pluginId=(?<pluginId>[^ ]*) dsName=(?<dsName>[^ ]*) dsUID=(?<dsUID>[^ ]*) uname=(?<uname>[^ ]*) t=(?<t>[^ ]*) level=(?<level>[^ ]*) msg="(?<msg>[^"]*)" error=(?<error>[^ ]*) statusCode=(?<statusCode>[^ ]*) resourcePath="(?<resourcePath>[^"]*)"
+    Time_Key    t
+    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
+    Time_Keep   On
 </code>
@@ Строка 306: / Строка 446: @@
 <code yaml>
+auth_enabled: false
+server:
+  http_listen_port: 3100
+common:
+  instance_addr: 127.0.0.1
+  path_prefix: /loki
+  storage:
+    filesystem:
+      chunks_directory: /loki/chunks
+      rules_directory: /loki/rules
+  replication_factor: 1
+  ring:
+    kvstore:
+      store: inmemory
+schema_config:
+  configs:
+    - from: 2020-10-24
+      store: tsdb
+      object_store: filesystem
+      schema: v13
+      index:
+        prefix: index_
+        period: 24h
+ruler:
+  alertmanager_url: http://localhost:9093
+limits_config:
+  retention_period: 720h
+  reject_old_samples: true
+  reject_old_samples_max_age: 720h
+  allow_structured_metadata: true
+  max_query_length: 721h
+ingester:
+  lifecycler:
+    ring:
+      kvstore:
+        store: inmemory
+      replication_factor: 1
+    final_sleep: 0s
+  chunk_idle_period: 1h
+  max_chunk_age: 1h
+  chunk_target_size: 1048576
+  chunk_retain_period: 30s
+table_manager:
+  retention_deletes_enabled: true
+  retention_period: 720h
 </code>
@@ Строка 318: / Строка 509: @@
 <code bash>
+# Проверяем конфигурацию
+$ docker exec -it <fluentbit_container> /fluent-bit/bin/fluent-bit -c /fluent-bit/etc/fluent-bit.conf --dry-run
+# Смотрим логи
+$ docker service logs logging_fluent-bit
+# Проверяем метрики
+$ curl http://localhost:2020/api/v1/metrics | jq
+# Тестируем парсеры
+$ echo '2025-11-21T02:13:34.366Z {"method":"PUT","path":"/projects","status":500}' | \
+$ docker exec -i <fluentbit_container> /fluent-bit/bin/fluent-bit -c /fluent-bit/etc/fluent-bit.conf -i stdin -o stdout
 </code>
 ==== Запросы в Grafana ====
-<code>
+<code json>
 {job="fluent-bit"} |= "gitlab"
-</code>
-<code>
 {container_name="gitlab"}
-</code>
-<code>
 {job="fluent-bit"} |~ "(?i)error|exception|fail"
-</code>
-<code>
 {node_name="node-1"}
-</code>
-<code>
 # Все логи GitLab
 {container_name=~".*gitlab.*"}
-</code>
-<code>
 # Логи по компонентам
 {container_name=~".*gitlab.*"} | json | component="gitaly.UnaryServerInterceptor"
-</code>
-<code>
 # Ошибки
 {container_name=~".*gitlab.*"} | json | level="error"
-</code>
-<code>
 # Запросы с определенным correlation_id
 {container_name=~".*gitlab.*"} | json | correlation_id="01KAJ30DCE4BW6JSAT7KHGZ9PX"
-</code>
-<code>
 # Логи Sidekiq
 {container_name=~".*gitlab.*"} | json | severity="INFO"
+# Все логи GitLab с parsed_data
+{container_name=~".*gitlab.*"} | json
+# Логи с ошибками
+{environment="production"} | json | level="error"
+# Медленные PostgreSQL запросы
+{service_name=~".*postgres.*"} | json | duration > 1000
+# Nginx 5xx ошибки
+{container_name=~".*nginx.*"} | json | status >= 500
+# Sidekiq логи
+{container_name=~".*sidekiq.*"} | json | severity="INFO"
 </code>