降本增效 - VGF 構建輕量高性能日志管理平臺

VFG 技術架構

Filebeat 接收Syslog ，并進行日志分段，VictoriaLogs 持久化存儲日志，Grafana 可視化、數據查詢、告警、數據導出。

為什么要用VictoriaLogs ？

與Elasticsearch /Grafana Loki相比幾十倍的CPU/內存/存儲資源占用的差距，能極大的節省硬件資源。
VGF可以實現ELK的Web查詢、日志壓縮存儲、syslog 日志接收。

簡介

VictoriaLogs 兼容支持多種數據輸入軟件，Filebeat 也支持多種數據輸入。
VictoriaLogs 的Web UI很簡陋，所以要用Grafana。
VictoriaLogs 是HTTP訪問是無認證的，需要套其他軟件來實現。（默認端口9428）
VictoriaLogs 的數據過期時間是全局的，所以如果有需求，只能部署多個實例。
Filebeat 相對Logstash 性能更好，也比VictoriaLogs 自帶的Syslog輸入功能更多。

Docker 國內安裝

https://mirror.nju.edu.cn/mirrorz-help/docker-ce/?mirror=NJU

Docker Hub國內加速

sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{"registry-mirrors": ["https://dockerproxy.com","https://docker.mirrors.ustc.edu.cn","https://docker.nju.edu.cn"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker

部署VictoriaLogs

創建 victoria-logs-data 文件夾

docker run -d --restart always \-p 9428:9428 \-v ./victoria-logs-data:/victoria-logs-data \--name victoria-logs-syslog-songxwn.com \docker.io/victoriametrics/victoria-logs:latest \--retentionPeriod=365d# by songxwn.com

9428/tcp 對外HTTP訪問
數據保留365天
./victoria-logs-data 為存儲目錄

部署Grafana

docker run -d --name=grafana -p 3000:3000 \-e GF_INSTALL_PLUGINS=victoriametrics-logs-datasource \--name Grafana \grafana/grafana-enterprise

Grafana 接入VictoriaLogs 數據源

插件已默認安裝，添加對應數據源即可，目標為 http://192.168.1.1:9428

Filebeat 部署 - 接收Syslog，輸出到VL

vim filebeat.docker.yml

filebeat.inputs:- type: udpenabled: truemax_message_size: 10KiBhost: "0.0.0.0:514"fields:type: udpoutput.elasticsearch:hosts: ["http://127.0.0.1:9428/insert/elasticsearch/"]parameters:_msg_field: "message"_time_field: "@timestamp"_stream_fields: "host.hostname"allow_older_versions: true

PS：注意 127.0.0.1 替換為宿主機IP.

運行

docker run -d  \--name Filebeat \--user=root \--volume="$(pwd)/filebeat.docker.yml:/usr/share/filebeat/filebeat.yml:ro" \-p 514:514/udp \docker.elastic.co/beats/filebeat:8.17.2

Docker compose 一把梭

創建并進入 /opt/VFG文件夾

mkdir /opt/VFGcd /opt/VFG

filebeat配置文件 - vim filebeat.docker.yml

http:enabled: truehost: "http://0.0.0.0:5066"filebeat.inputs:- type: udpenabled: truemax_message_size: 10KiBhost: "0.0.0.0:514"fields:type: udpoutput.elasticsearch:hosts: ["http://syslog-victoria-logs:9428/insert/elasticsearch/"]parameters:_msg_field: "message"_time_field: "@timestamp"_stream_fields: "host.hostname"allow_older_versions: true

PS：如果需要字段分割，可以參考如下。增加到輸入輸出中間即可。

processors:- dissect:tokenizer: "<%{syslog_pri}>%{timestamp} %{hostname} %%{log_level}/%{log_code}/%{log_action}(l):IPVer=%{ipver},Protocol=%{protocol},SourceIP=%{source_ip},DestinationIP=%{destination_ip},SourcePort=%{source_port},DestinationPort=%{destination_port},SourceNatIP=%{source_nat_ip},SourceNatPort=%{source_nat_port},BeginTime=%{begin_time},EndTime=%{end_time},S>field: "message"target_prefix: "parsed"

victoria-logs 數據目錄

mkdir victoria-logs-datachown -R 472:472 victoria-logs-data

Grafana 數據目錄和配置文件

mkdir grafana-datachown -R 472:472 grafana-data

數據源配置文件

mkdir -p ./provisioning/datasourcesvim ./provisioning/datasources/vm.ymlapiVersion: 1
datasources:# <string, required> Name of the VictoriaLogs datasource# displayed in Grafana panels and queries.- name: VictoriaLogs-songxwn.com# <string, required> Sets the data source type.type: victoriametrics-logs-datasource# <string, required> Sets the access mode, either# proxy or direct (Server or Browser in the UI).access: proxy# <string> Sets URL for sending queries to VictoriaLogs server.# see https://docs.victoriametrics.com/victorialogs/querying/url: http://syslog-victoria-logs:9428# <string> Sets the pre-selected datasource for new panels.# You can set only one default data source per organization.isDefault: true

vim docker-compose.yml 文件

services:victoria-logs:image: victoriametrics/victoria-logs:latestcontainer_name: syslog-victoria-logsvolumes:- ./victoria-logs-data:/victoria-logs-datarestart: alwayscommand: ["--retentionPeriod=365d"]environment:- TZ=Asia/Shanghaihealthcheck:test: ["CMD", "wget", "-q", "--spider", "http://127.0.0.1:9428/health"]interval: 1m30stimeout: 10sretries: 3grafana:image: grafana/grafana-enterprisecontainer_name: syslog-grafanaports:- "3000:3000"environment:- GF_INSTALL_PLUGINS=victoriametrics-logs-datasource- GF_SECURITY_ADMIN_PASSWORD=Songxwn.com- TZ=Asia/Shanghaivolumes:- ./grafana-data:/var/lib/grafana- ./provisioning:/etc/grafana/provisioningrestart: alwayshealthcheck:test: ["CMD", "curl", "-f", "http://localhost:3000/api/health"]interval: 1m30stimeout: 10sretries: 3filebeat:image: docker.elastic.co/beats/filebeat:8.17.2container_name: syslog-filebeatports:- "514:514/udp"volumes:- ./filebeat.docker.yml:/usr/share/filebeat/filebeat.yml:rorestart: alwaysenvironment:- TZ=Asia/Shanghaihealthcheck:test: ["CMD", "curl", "-f", "http://localhost:5066"]interval: 60stimeout: 10sretries: 3

compose 啟動命令（需要Docker Engine 19.03.0以上版本）


docker compose up -d

停止、升級


docker compose downdcker compose pulldocker compose up -d

compose文件說明

1. Victoria-Logs 服務

服務名稱: victoria-logs
鏡像: 使用 victoriametrics/victoria-logs:latest 鏡像。
容器名稱: syslog-victoria-logs
數據卷: 掛載本地目錄 ./victoria-logs-data 到容器內的 /victoria-logs-data，用于持久化存儲。
重啟策略: 設置為 always，確保容器在運行失敗后自動重啟。
啟動命令: 指定命令參數 --retentionPeriod=365d，表示日志保留期為365天。
環境變量: 設置時區為 Asia/Shanghai。
健康檢查:
- 執行 wget -q --spider http://127.0.0.1:9428/health 檢查服務的健康狀態。
- 每 1分30秒 執行一次檢查。
- 如果檢測不到健康狀態，等待 10秒 后超時。
- 重試 3次 失敗后標記為非健康。

2. Grafana 服務

鏡像: 使用 grafana/grafana-enterprise 鏡像。
容器名稱: syslog-grafana
端口映射: 將主機的 3000 端口映射到容器的 3000 端口，供外部訪問 Grafana。
環境變量:
- 安裝插件 victoriametrics-logs-datasource。
- 設置初始管理員密碼為 Songxwn.com。
- 設置時區為 Asia/Shanghai。
數據卷:
- 掛載本地目錄 ./grafana-data 到容器中的 /var/lib/grafana，用于持久化 Grafana 的數據。
- 掛載本地目錄 ./provisioning 到 /etc/grafana/provisioning，用于配置預置的數據源和儀表盤。
重啟策略: 設置為 always。
健康檢查:
- 執行 curl -f http://localhost:3000/api/health 檢查服務的健康狀態。
- 每 1分30秒 執行一次檢查。
- 如果檢測不到健康狀態，等待 10秒 后超時。
- 重試 3次 失敗后標記為非健康。

3. Filebeat 服務

鏡像: 使用 docker.elastic.co/beats/filebeat:8.17.2 鏡像。
容器名稱: syslog-filebeat
端口映射: 將主機的 514/udp 端口映射到容器的 514/udp 端口，用于接收 Syslog。
數據卷: 將本地的 filebeat.docker.yml 配置文件掛載到容器內的 /usr/share/filebeat/filebeat.yml，且為只讀。
重啟策略: 設置為 always。
環境變量: 設置時區為 Asia/Shanghai。
健康檢查:
- 執行 curl -f http://localhost:5066 檢查服務的健康狀態。
- 每 60秒 執行一次檢查。
- 如果檢測不到健康狀態，等待 10秒 后超時。
- 重試 3次 失敗后標記為非健康。

這些配置用來部署和管理 Victoria-Logs、Grafana 和 Filebeat 服務，確保它們處于良好運行狀態，且在故障發生時可以自動恢復。各自的健康檢查提供了針對服務運行狀態的簡易確認方式，進一步提高系統的穩定性和可靠性。

VFG Compose 部署使用

發送日志到udp/514 端口，即可存儲到數據庫。 echo "songxwn.com\!" | nc -4u 202.182.109.11 514 命令用來測試發送
訪問到Grafana Web 3000端口，使用admin/Songxwn.com 登錄。
可以通過已經預先創建的數據源VictoriaLogs-songxwn.com，通過Explore 查詢日志（LogsQL語法，* 匹配所有）和導出為CSV文件。
Grafana 也可以進行日志告警和構建可視化儀表盤。

Grafana 示例

在這里插入圖片描述

資源占用 - 有較高日志輸入的情況下

CONTAINER ID   NAME                   CPU %     MEM USAGE / LIMIT     MEM %     NET I/O           BLOCK I/O        PIDS
1c7fe73fc896   syslog-filebeat        0.52%     63.14MiB / 3.822GiB   1.61%     14.1MB / 5.38MB   0B / 8.19kB      15
4a6ee8b19475   syslog-grafana         0.61%     147.3MiB / 3.822GiB   3.76%     9.85MB / 12.8MB   299kB / 305MB    33
a80d91af294c   syslog-victoria-logs   0.04%     195.7MiB / 3.822GiB   5.00%     5.4MB / 604kB     520kB / 6.86MB   14