AWS EKS Fargate 中使用 Fluent Bit 实现多日志组分流方案

背景介绍

在 AWS EKS Fargate 环境中，日志收集是一个关键的基础设施需求。AWS 默认提供了 Fluent Bit 作为日志收集器，将容器日志发送到 CloudWatch Logs 服务。然而，当我们需要将不同类型的日志路由到不同的 CloudWatch 日志组时，配置会变得复杂。

问题分析

许多团队在使用 EKS Fargate 时，希望根据日志内容将不同应用的日志分别存储到不同的 CloudWatch 日志组中。例如，一个微服务架构可能包含多个服务组件，每个组件的日志需要独立存储和管理。

常见的配置挑战包括：

1. 如何基于日志内容进行路由
2. 如何避免日志处理过程中的无限循环
3. 如何验证配置是否生效

解决方案

核心配置思路

要实现日志分流，我们需要利用 Fluent Bit 的 rewrite_tag 过滤器。这个过滤器允许我们根据日志内容动态修改标签，然后通过匹配不同标签将日志路由到不同的输出目标。

关键配置示例

以下是一个完整的 ConfigMap 配置示例，展示了如何将包含特定关键字("Logbook")的日志路由到专门的日志组：

apiVersion: v1
kind: ConfigMap
metadata:
  name: aws-logging
  namespace: aws-observability
data:
  output.conf: |
    [OUTPUT]
        Name cloudwatch_logs
        Match   rewrite.*
        region ap-southeast-1
        log_group_name ZGD-RISK-API
        log_stream_prefix RiskAPILogStream.
        auto_create_group true
    [OUTPUT]
        Name cloudwatch_logs
        Match   *
        region ap-southeast-1
        log_group_name default-log-group
        log_stream_prefix default.
        auto_create_group true

  filters.conf: |
    [FILTER]
        Name rewrite_tag
        Match_Regex ^(?!rewrite).*
        Rule $log['loggerName'] .*Logbook.* rewrite.$TAG false
        Emitter_Name re_emitted

配置要点解析

1. 输出配置：

   • 第一个输出匹配 rewrite.* 标签的日志，将其发送到专门的日志组
   • 第二个输出作为默认路由，捕获所有其他日志

2. 过滤器配置：

   • 使用 Match_Regex ^(?!rewrite).* 避免已经重写的日志再次进入过滤器
   • Rule 定义了匹配条件和重写规则，这里匹配日志中的 loggerName 字段
   • false 参数表示不保留原始日志的标签

3. 调试技巧：

   • 在配置中添加 flb_log_cw: "true" 可以将 Fluent Bit 自身的日志发送到 CloudWatch，便于排查问题
   • 日志中的 'Match' may cause infinite loop 提示表明可能存在循环处理问题

最佳实践建议

1. 命名规范：

   • 为不同服务设计清晰的日志组命名规则
   • 使用一致的日志流前缀

2. 性能考虑：

   • 复杂的过滤规则可能影响 Fluent Bit 性能
   • 在生产环境部署前进行充分的性能测试

3. 监控配置：

   • 监控各日志组的数据量
   • 设置适当的日志保留策略

总结

在 AWS EKS Fargate 环境中，通过合理配置 Fluent Bit 的 rewrite_tag 过滤器，可以实现精细化的日志路由策略。关键在于正确设计匹配规则和避免日志处理循环。本文提供的配置方案经过实践验证，可以作为类似需求的参考实现。