조회는 Discover 메뉴에서 하면 된다.
Discover 페이지는 아래와 같을텐데 기본적으로 아래영역에서 인덱스 패턴을 지정해서 조회를 수행한다.
조회할 필드 기본적으로 _source 인데 이는 ElasticSearch 에서 수집되는 모든 데이터를 기준으로 하기 때문에 우리가 우리가 원하는 필드를 지정해서 조회할 필요가 있다. 일반적으로 우리가 소스상에서 logger 로 출력하는 로그들은 log 필드로 조회하면 되고 그 외 k8s 환경이라면 kubernetes.pod_name 등을 추가로 지정하면 되겠다.
물론 kubernetes.pod_name 등의 필드는 아래에서 했던 것처럼 Fluent-bit 구축시 적절한 플러그인을 사용해야 한다.
https://findmypiece.tistory.com/96?category=973869
k8s Logging 시스템 구축
해당 포스팅은 사내 k8s 클러스터에 EFK 로깅시스템을 구축한 기록으로 기본적으로 k8s 클러스터가 구축되어 있고 kubectl 연결이 되어 있다는 가정하에 작성되었습니다. 1. 구축 방법에 대한 고민
findmypiece.tistory.com
조회방법은 KQL을 활용해도 되고 Add Filter 항목을 통한 Query DSL 를 활용해도 된다. 그런데 단순히 로그검색이라면 KQL 만으로도 충분할 것이다. 아래와 같이 검색하면 된다. 매우 직관적이다. 그냥 필드명: 조회값 형태로 조회하면 되고 and, or 조건 등을 줄 수 있다.
참고로 부등호 조회도 가능하다. 필드명: <100 으로 조회하면 필드의 값이 100 이하인 데이터만 조회한다.
화면이 직관적이라 다들 알아서 해보겠지만 아래화면을 기준으로 Last 15 Days 항목을 조정해서 조회기간을 지정할 수도 있다. 그리고 Save 버튼을 통해 조회조건을 저장해 놓을 수 있고 추후 Open 으로 불러서 사용할 수도 있다.
조회값에 특문(@#! 등) 이 포함되어 있다면 조회값 자체를 "" 로 묶어줘야 정상 조회된다. 그리고 아래 캡처에서는 and, or 조건을 소문자로 했는데 대문자로 해야 정상적으로 적용되는 것 같다. 캡처를 다시 찍기 귀찮아서 글만 추가한다ㅠ
필요할 경우 Add Filter 를 통해 Query DSL 를 활용해도 된다. 다양한 Operator 를 지정해서 조회할 수 있다.
'Base > Logging' 카테고리의 다른 글
| k8s Logging 시스템 구축 (0) | 2021.04.02 |
|---|