tail

tail 输入插件允许监测一个或多个文本文件。它具有类似于 tail -f 的 shell 命令行功能。

该插件读取 Path 模式中的每个匹配文件，并为每个新行(分隔符为\n)生成一条新纪录。作为可选的，可以使用数据库文件，以便插件可以跟踪文件的历史记录和偏移状态，这对于重启服务时的状态恢复非常有用。

配置参数

该插件支持以下配置参数:

键

描述

默认值

Buffer_Chunk_Size

32k

Buffer_Max_Size

Buffer_Chunk_Size

Path

通过使用通配符指定一个或多个日志文件的

Path_Key

如果启用，它将附加监控文件的名称作为记录的一部分。指定的值成为映射中的键

Exclude_Path

设置一个或多个用逗号分隔的模式，以排除符合特定条件的文件。例如 exclude_path=*.gz,*.zip

Refresh_Interval

刷新监控文件列表的时间间隔(秒)

Rotate_Wait

指定监控文件的额外时间，以防止日志文件滚动丢失某些数据

Ignore_Older

忽略比该时间旧的记录(秒)。支持 m,h,d(分钟,小时,天)。默认行为是从指定文件中读取所有记录。仅在指定了解析器并且可以解析记录时间时才可用

Skip_Long_Lines

当监控的文件由于行(Buffer_Max_Size)很长而达到缓冲区容量时，默认行为是停止监视该文件。Skip_Long_Lines 会更改该行为，并指示 Fluent Bit 跳过长行并继续处理适合缓冲区大小的其他行

Off

指定跟踪监控文件的偏移量的数据库文件

DB.Sync

Full

Mem_Buf_Limit

设置将数据追加到引擎时的内存限制。如果达到此限制，它将被暂停；刷新数据后，它将恢复.

Parser

指定解析器的名称，将记录转化为结构化消息

Key

当消息是非结构化数据时(未应用解析器)，消息将以字符串形式作为 log 键的值。此选项允许为该键指定名称

log

Tag

Tag_Regex

设置正则表达式以从文件中提取字段.如 (?<pod_name>[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)_(?<namespace_name>[^_]+)_(?<container_name>.+)-

请注意，如果未指定数据库参数 db，默认情况下，插件将从头开始读取每个目标文件。

多行配置参数

此外，还存在以下选项来配置多行文件的处理:

键

描述

默认值

Multiline

如果启用，该插件将尝试发现多行消息并使用适当的解析器组成输出消息。请注意，启用此选项后，将不使用 Parser 选项

Off

Multiline_Flush

处理队列中多行消息的等待时间

Parser_Firstline

多行消息的开头匹配的解析器的名称。请注意，解析器中定义的正则表达式必须包含组名(名为capture )

Parser_N

可选的额外解析器，用于解析并结构化多行条目。此选项可用于定义多个解析器，例如：Parser_1 ab1，Parser_2 ab2，Parser_N abN

Docker 模式配置参数

还包含 Docker 模式，用于重组由于其行长限制被 Docker 守护程序分割的 JSON 日志行。要使用此功能，请配置 tail 插件使用相应的解析器，然后启用 Docker 模式:

Key

Description

Default

Docker_Mode

如果启用，该插件将重新组合已分割的 Docker 日志行，然后将其传递至如上配置的任何解析器。此模式不能与多行模式同时使用

Off

Docker_Mode_Flush

刷新队列中未完成的分割行的等待时间

快速开始

为了实时读取文本或日志文件，您可以从命令行或通过配置文件运行插件:

命令行

在命令行中，您可以使用以下选项让 Fluent Bit 解析文本文件

$ fluent-bit -i tail -p path=/var/log/syslog -o stdout

配置文件

在您的主配置文件中，添加以下 Input 和 Output 配置段:

[INPUT]
    Name        tail
    Path        /var/log/syslog

[OUTPUT]
    Name   stdout
    Match  *

文件状态跟踪

强烈建议您启用 tail 输入插件可保存跟踪文件的状态的功能。为此，可以使用 db 属性,如:

$ fluent-bit -i tail -p path=/var/log/syslog -p db=/path/to/logs.db -o stdout

运行时，数据库文件/path/to/logs.db 将被创建，该数据库由 SQLite3 支持，因此，如果您有兴趣探索内容，则可以使用 SQLite 客户端工具将其打开，例如:

$ sqlite3 tail.db
-- Loading resources from /home/edsiper/.sqliterc

SQLite version 3.14.1 2016-08-11 18:53:32
Enter ".help" for usage hints.
sqlite> SELECT * FROM in_tail_files;
id     name                              offset        inode         created
-----  --------------------------------  ------------  ------------  ----------
1      /var/log/syslog                   73453145      23462108      1480371857
sqlite>

确保 Fluent Bit 没有依赖该数据库再浏览数据库文件，否则您会看到一些 Error: database is locked 之类的错误信息。

格式化 SQLite

默认情况下，SQLite 客户端工具不会以人类易读的方式格式化列，因此要浏览 in_tail_files 表，您可以在 ~/.sqliterc 中创建具有以下内容的配置文件

.headers on
.mode column
.width 5 32 12 12 10

文件滚动

文件滚动可以被正确的处理，包括日志滚动 copytruncate(复制清空) 模式。

PreviousSystemd Next解析器

Last updated 4 years ago

Was this helpful?

tail

tail 输入插件允许监测一个或多个文本文件。它具有类似于 tail -f 的 shell 命令行功能。

配置参数

该插件支持以下配置参数:

键

描述

默认值

Buffer_Chunk_Size

设置读取文件数据的初始缓冲区大小。该值也用于增加缓冲区大小。该值必须符合章节中的规范

32k

Buffer_Max_Size

设置每个监控文件的缓冲区大小。当需要增加缓冲区时，此值用于限制内存缓冲区可以增加多少。如果超过此限制，则将从监控文件列表中删除该文件。该值必须符合章节中的规范

Buffer_Chunk_Size

Path

通过使用通配符指定一个或多个日志文件的

Path_Key

如果启用，它将附加监控文件的名称作为记录的一部分。指定的值成为映射中的键

Exclude_Path

设置一个或多个用逗号分隔的模式，以排除符合特定条件的文件。例如 exclude_path=*.gz,*.zip

Refresh_Interval

刷新监控文件列表的时间间隔(秒)

Rotate_Wait

指定监控文件的额外时间，以防止日志文件滚动丢失某些数据

Ignore_Older

忽略比该时间旧的记录(秒)。支持 m,h,d(分钟,小时,天)。默认行为是从指定文件中读取所有记录。仅在指定了解析器并且可以解析记录时间时才可用

Skip_Long_Lines

Off

指定跟踪监控文件的偏移量的数据库文件

DB.Sync

设置默认的同步方法。可选值: Extra, Full, Normal, Off.此标志影响内部 SQLite 引擎与磁盘同步的方式，有关选项的更多详细信息，请参阅 .

Full

Mem_Buf_Limit

设置将数据追加到引擎时的内存限制。如果达到此限制，它将被暂停；刷新数据后，它将恢复.

Parser

指定解析器的名称，将记录转化为结构化消息

Key

当消息是非结构化数据时(未应用解析器)，消息将以字符串形式作为 log 键的值。此选项允许为该键指定名称

log

Tag

为读取的行设置标签(带有正则表达式字段)。如 kube.<namespace_name>.<pod_name>.<container_name>.请注意支持如下"标签扩展"规则: 如果标签包含星号(*)，则星号(*)将被替换为文件的绝对路径(请参阅

Tag_Regex

设置正则表达式以从文件中提取字段.如 (?<pod_name>[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)_(?<namespace_name>[^_]+)_(?<container_name>.+)-

请注意，如果未指定数据库参数 db，默认情况下，插件将从头开始读取每个目标文件。

多行配置参数

此外，还存在以下选项来配置多行文件的处理:

键

描述

默认值

Multiline

如果启用，该插件将尝试发现多行消息并使用适当的解析器组成输出消息。请注意，启用此选项后，将不使用 Parser 选项

Off

Multiline_Flush

处理队列中多行消息的等待时间

Parser_Firstline

多行消息的开头匹配的解析器的名称。请注意，解析器中定义的正则表达式必须包含组名(名为capture )

Parser_N

可选的额外解析器，用于解析并结构化多行条目。此选项可用于定义多个解析器，例如：Parser_1 ab1，Parser_2 ab2，Parser_N abN

Docker 模式配置参数

Key

Description

Default

Docker_Mode

如果启用，该插件将重新组合已分割的 Docker 日志行，然后将其传递至如上配置的任何解析器。此模式不能与多行模式同时使用

Off

Docker_Mode_Flush

刷新队列中未完成的分割行的等待时间

快速开始

为了实时读取文本或日志文件，您可以从命令行或通过配置文件运行插件:

命令行

在命令行中，您可以使用以下选项让 Fluent Bit 解析文本文件

$ fluent-bit -i tail -p path=/var/log/syslog -o stdout

配置文件

在您的主配置文件中，添加以下 Input 和 Output 配置段:

[INPUT]
    Name        tail
    Path        /var/log/syslog

[OUTPUT]
    Name   stdout
    Match  *

文件状态跟踪

强烈建议您启用 tail 输入插件可保存跟踪文件的状态的功能。为此，可以使用 db 属性,如:

$ fluent-bit -i tail -p path=/var/log/syslog -p db=/path/to/logs.db -o stdout

运行时，数据库文件/path/to/logs.db 将被创建，该数据库由 SQLite3 支持，因此，如果您有兴趣探索内容，则可以使用 SQLite 客户端工具将其打开，例如:

$ sqlite3 tail.db
-- Loading resources from /home/edsiper/.sqliterc

SQLite version 3.14.1 2016-08-11 18:53:32
Enter ".help" for usage hints.
sqlite> SELECT * FROM in_tail_files;
id     name                              offset        inode         created
-----  --------------------------------  ------------  ------------  ----------
1      /var/log/syslog                   73453145      23462108      1480371857
sqlite>

确保 Fluent Bit 没有依赖该数据库再浏览数据库文件，否则您会看到一些 Error: database is locked 之类的错误信息。

格式化 SQLite

默认情况下，SQLite 客户端工具不会以人类易读的方式格式化列，因此要浏览 in_tail_files 表，您可以在 ~/.sqliterc 中创建具有以下内容的配置文件

.headers on
.mode column
.width 5 32 12 12 10

文件滚动

文件滚动可以被正确的处理，包括日志滚动 copytruncate(复制清空) 模式。

PreviousSystemd Next解析器

Last updated 4 years ago

Was this helpful?