Различия

Показаны различия между двумя версиями страницы.

--- software:fluent-bit-loki-grafana:fluent-bit:docker-swarm-2 [2025/11/26 03:00] – mirocow
+++ software:fluent-bit-loki-grafana:fluent-bit:docker-swarm-2 [2025/12/06 03:35] (текущий) – mirocow
@@ Строка 1: / Строка 1: @@
-====== Обработка многострочных логов ======
+====== Обработка логов Docker ======
 === fluent-bit.conf ===
@@ Строка 23: / Строка 23: @@
     Parser            docker
     Refresh_Interval  10
-    #Ignore_Older      1h
+    Ignore_Older      1h
     Docker_Mode       On
-    Docker_Mode_Flush 4
     Tag               docker.<file_name>
     Tag_Regex         (?<file_name>[a-f0-9]*)-json.log
@@ Строка 33: / Строка 32: @@
     DB.sync           normal
     Storage.Type      filesystem
-    Read_from_Head    true
+    Read_from_Head    false
-# Метаданные Docker
+# Только для отладки
+# [INPUT]
+#     Name              tail
+#     Path              /var/lib/docker/containers/*/*.log
+#     Parser            docker
+#     Refresh_Interval  10
+#     Docker_Mode       On
+#     Tag               docker.<file_name>
+#     Tag_Regex         (?<file_name>[a-f0-9]*)-json.log
+#     Mem_Buf_Limit     50MB
+#     Skip_Long_Lines   On
+#     DB                /var/log/flb-storage/flb_db.db
+#     DB.sync           normal
+#     Storage.Type      filesystem
+#     Read_from_Head    true
+# Фильтруем пустые логи
 [FILTER]
-    name                lua
+    name                grep
     match               docker.*
-    script              /fluent-bit/bin/docker-metadata.lua
+    Exclude             log ^$
-    call                enrich_with_docker_metadata
+    Exclude             log ^\s*$
+    Exclude             log ^==>.+<==$
 # Извлекаем сырой лог
@@ Строка 47: / Строка 63: @@
     match               docker.*
     copy                log raw_log
+    copy                exception.backtrace exception_backtrace
+    copy                exception.class exception_class
+    copy                exception.message exception_message
-# Фильтруем пустые логи
+# Очищаем docker.* - оставляем ТОЛЬКО нужные поля
 [FILTER]
-    name                grep
+    name                record_modifier
     match               docker.*
-    Exclude             raw_log ^$
-    Exclude             raw_log ^\s*$
-    Exclude             raw_log ^==>.+<==$
-    Exclude             raw_log ^{"message":"\s*"}$
-# Основной JSON парсинг для Docker логов
+    whitelist_key       date
+    whitelist_key       log
+    whitelist_key       raw_log
+    whitelist_key       exception_backtrace
+    whitelist_key       exception_class
+    whitelist_key       exception_message
+    whitelist_key       method
+    whitelist_key       path
+    whitelist_key       action
+    whitelist_key       status
+    whitelist_key       remote_ip
+    whitelist_key       controller
+    whitelist_key       line_id
+#
+# FILTERS
+#
 [FILTER]
     name                parser
     match               docker.*
-    key_name            log
+    key_name            raw_log
-    parser              json_auto
+    parser              nginx_access
     reserve_data        true
-    preserve_key        true
 [FILTER]
@@ Строка 122: / Строка 154: @@
     reserve_data        true
     Preserve_Key        true
-[FILTER]
-    name                parser
-    match               docker.*
-    key_name            raw_log
-    parser              nginx_access
-    reserve_data        true
 [FILTER]
@@ Строка 151: / Строка 176: @@
     reserve_data        true
-# Структуризация распарсенных полей из raw_log
+# Структуризация распарсенных полей В raw_log
 [FILTER]
     name                nest
@@ Строка 173: / Строка 198: @@
     wildcard            statusCode
     wildcard            resourcePath
-    wildcard            correlation_id
+    wildcard            exception
-    wildcard            component
-    wildcard            severity
-    wildcard            grpc.*
     nest_under          parsed_data
-# Копируем метаданные Docker
+#
+# FILTERS
+#
+# Метаданные Docker
+[FILTER]
+    name                lua
+    match               docker.*
+    script              /fluent-bit/bin/docker-metadata.lua
+    call                enrich_with_docker_metadata
+# Копируем метаданные
 [FILTER]
     name                modify
@@ Строка 186: / Строка 219: @@
     copy                docker.container_started started
     copy                docker.container_name container_name
+    copy                docker.container_name service_name
     copy                docker.container_id container_id
     copy                docker.state state
     copy                docker.stream stream
+    copy                docker.line_id line_id
     copy                log _raw
     copy                parsed_data _parsed
+    # copy                exception_class _class
+    # copy                exception_message _message
+    # copy                exception_backtrace _backtrace
-    # docker compose
+    copy                docker.label_project project
-    copy                docker.label_compose_project compose_project
+    copy                docker.label_service service
-    copy                docker.label_compose_service compose_service
+    copy                docker.label_logging logging
+    copy                docker.label_logging_jobname logging_jobname
-    # docker swarm
-    copy                docker.Label_stack_name stack_name
-    copy                docker.Label_service_name service_name
-    copy                docker.Label_service_id service_id
-    copy                docker.Label_task_name task_name
-    copy                docker.Label_task_id task_id
-    copy                docker.Label_node_id node_id
-    # Labels
-    copy                docker.Label_logging logging
-    copy                docker.Label_logging_jobname logging_jobname
 # Структурируем через nest
@@ Строка 231: / Строка 259: @@
     rule                $logging ^enabled$ data.$container_id true
-# Очищаем data.* - расширенный whitelist
 [FILTER]
     name                record_modifier
     match               data.*
+    whitelist_key       date
     whitelist_key       log
-    whitelist_key       started
+    whitelist_key       exception_class
+    whitelist_key       exception_message
+    whitelist_key       exception_backtrace
+    whitelist_key       method
+    whitelist_key       path
+    whitelist_key       action
+    whitelist_key       status
+    whitelist_key       remote_ip
+    whitelist_key       controller
+    whitelist_key       line_id
+    whitelist_key       node_id
+    whitelist_key       node_name
+    whitelist_key       host_name
     whitelist_key       hostname
-    whitelist_key       state
+    whitelist_key       started
-    whitelist_key       labels
-    whitelist_key       container_id
     whitelist_key       container_name
+    whitelist_key       service_name
+    whitelist_key       container_id
+    whitelist_key       stream
     whitelist_key       project
     whitelist_key       service
-    whitelist_key       logging
     whitelist_key       logging_jobname
-    whitelist_key       stream
-    whitelist_key       node_name
-    whitelist_key       host_name
-    # docker compose
-    whitelist_key       compose_project
-    whitelist_key       compose_service
-    # docker swarm
-    whitelist_key       stack_name
-    whitelist_key       service_name
-    whitelist_key       service_id
-    whitelist_key       task_name
-    whitelist_key       task_id
-    whitelist_key       node_id
 [OUTPUT]
@@ Строка 267: / Строка 295: @@
     host                loki
     port                3100
-    labels              job=$logging_jobname, node_name=$node_name, container_id=$container_id, container_name=$container_name, service_name=$service_name, project=$project, service=$service, level=$stream, logging_jobname=$logging_jobname
+    labels              job=$logging_jobname, node_name=$node_name, container_id=$container_id, container_name=$container_name, service_name=$service_name, project=$project, service=$service, level=$stream
-    label_keys          $node_name,$container_id,$container_name,$service_name,$project,$service,$logging_jobname
+    label_keys          $node_name,$container_id,$container_name,$service_name,$project,$service
     line_format         json
     auto_kubernetes_labels off
-    drop_single_key     false
-    remove_keys         docker_id
-# OUTPUT для отладки
+# Только для отладки
 # [OUTPUT]
 #     name                stdout
@@ Строка 281: / Строка 307: @@
 </code>
-=== parsers_multiline.conf ===
+=== parsers.conf ===
 <code ini>
@@ Строка 287: / Строка 313: @@
 [PARSER]
     Name        docker
-    Format      json
-    Time_Key    time
-    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
-    Time_Keep   On
-# Автоматический JSON парсер
-[PARSER]
-    Name        json_auto
     Format      json
     Time_Key    time
@@ Строка 307: / Строка 325: @@
     Time_Key    timestamp
     Time_Format %d/%b/%Y:%H:%M:%S %z
-    Time_Keep   On
 # Gitlab JSON логи (application logs)
@@ Строка 313: / Строка 330: @@
     Name        gitlab_json
     Format      json
+    # Time_Key    time    # Используем время из Docker
     Time_Keep   On
@@ Строка 328: / Строка 346: @@
     Name        sidekiq_json
     Format      json
+    # Time_Key    time    # Используем время из Docker
     Time_Keep   On
@@ Строка 336: / Строка 355: @@
     Regex       ^(?<remote_ip>[^ ]*) (?<user_ident>[^ ]*) (?<user_id>[^ ]*) \[(?<timestamp>[^\]]*)\] "(?<method>\w+) (?<path>[^ ]*) HTTP/[0-9.]+" (?<status>\d+) (?<body_bytes>\d+) "(?<referrer>[^"]*)" "(?<user_agent>[^"]*)"
     Time_Key    timestamp
-    Time_Format %d/%b/%Y:%H:%M:%S %z
+    Time_Format %d/%b/%Y:%H:%M:%S %z  # ← Apache/Nginx формат!
     Time_Keep   On
@@ Строка 346: / Строка 365: @@
     Time_Key    timestamp
     Time_Format %d/%b/%Y:%H:%M:%S %z
-    Time_Keep   On
 # MySQL error логи
@@ Строка 415: / Строка 433: @@
     Regex       logger=(?<logger>[^ ]*) endpoint=(?<endpoint>[^ ]*) pluginId=(?<pluginId>[^ ]*) dsName=(?<dsName>[^ ]*) dsUID=(?<dsUID>[^ ]*) uname=(?<uname>[^ ]*) t=(?<t>[^ ]*) level=(?<level>[^ ]*) msg="(?<msg>[^"]*)" error=(?<error>[^ ]*) statusCode=(?<statusCode>[^ ]*) resourcePath="(?<resourcePath>[^"]*)"
     Time_Key    t
-    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
-    Time_Keep   On
-# Ruby/Rails логи (GitLab)
-[PARSER]
-    Name        ruby_multiline
-    Format      regex
-    Regex       ^(?<time>\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z) \[(?<pid>\d+)\] (?<level>\w+) -- : (?<message>.*)
-    Time_Key    time
-    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
-    Time_Keep   On
-# GitLab Rails логи (JSON multiline)
-[PARSER]
-    Name        gitlab_rails_multiline
-    Format      regex
-    Regex       ^(?<time>\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z) .*?"@timestamp":"(?<json_time>[^"]*)".*?"level":"(?<level>[^"]*)".*?"message":"(?<message>[^"]*)"
-    Time_Key    time
-    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
-    Time_Keep   On
-# Sidekiq multiline логи
-[PARSER]
-    Name        sidekiq_multiline
-    Format      regex
-    Regex       ^(?<time>\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z) (?<pid>\d+) TID-(?<tid>\w+) (?<level>\w+): (?<message>.*)
-    Time_Key    time
-    Time_Format %Y-%m-%dT%H:%M:%S.%LZ
-    Time_Keep   On
-# Multiline Java/Spring логи
-[PARSER]
-    Name        java_multiline
-    Format      regex
-    Regex       ^(?<time>\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}\.\d+) (?<level>\w+)\s+--- \[(?<thread>[^\]]+)\] (?<class>\S+)\s*:(?<message>.*)
-    Time_Key    time
-    Time_Format %Y-%m-%d %H:%M:%S.%L
-    Time_Keep   On
-# Multiline Python логи
-[PARSER]
-    Name        python_multiline
-    Format      regex
-    Regex       ^(?<time>\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2},\d+) - (?<name>\w+) - (?<level>\w+) - (?<message>.*)
-    Time_Key    time
-    Time_Format %Y-%m-%d %H:%M:%S,%L
-    Time_Keep   On
-# Multiline стектрейсы
-[PARSER]
-    Name        stacktrace_multiline
-    Format      regex
-    Regex       ^(?<timestamp>\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}\.\d+)\s+(?<level>\w+)\s+(?<message>.*)
-    Time_Key    timestamp
-    Time_Format %Y-%m-%d %H:%M:%S.%L
-    Time_Keep   On
-# Дополнительный парсер для Go логов
-[PARSER]
-    Name        go_multiline
-    Format      regex
-    Regex       ^(?<time>\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+Z)\s+(?<level>\w+)\s+(?<message>.*)
-    Time_Key    time
     Time_Format %Y-%m-%dT%H:%M:%S.%LZ
     Time_Keep   On
@@ Строка 491: / Строка 446: @@
 <code yaml>
+auth_enabled: false
+server:
+  http_listen_port: 3100
+common:
+  instance_addr: 127.0.0.1
+  path_prefix: /loki
+  storage:
+    filesystem:
+      chunks_directory: /loki/chunks
+      rules_directory: /loki/rules
+  replication_factor: 1
+  ring:
+    kvstore:
+      store: inmemory
+schema_config:
+  configs:
+    - from: 2020-10-24
+      store: tsdb
+      object_store: filesystem
+      schema: v13
+      index:
+        prefix: index_
+        period: 24h
+ruler:
+  alertmanager_url: http://localhost:9093
+limits_config:
+  retention_period: 720h
+  reject_old_samples: true
+  reject_old_samples_max_age: 720h
+  allow_structured_metadata: true
+  max_query_length: 721h
+ingester:
+  lifecycler:
+    ring:
+      kvstore:
+        store: inmemory
+      replication_factor: 1
+    final_sleep: 0s
+  chunk_idle_period: 1h
+  max_chunk_age: 1h
+  chunk_target_size: 1048576
+  chunk_retain_period: 30s
+table_manager:
+  retention_deletes_enabled: true
+  retention_period: 720h
 </code>