ロギングの設定

Red Hat OpenShift Logging 6.1

ログ転送と LokiStack の設定

Red Hat OpenShift Documentation Team

概要

このドキュメントでは、ログ転送や LokiStack などの OpenShift ロギング機能の設定について説明します。

第1章ログ転送の設定
リンクのコピー

ClusterLogForwarder (CLF) を使用すると、ユーザーはさまざまな宛先へのログの転送を設定できます。さまざまなソースからログメッセージを選択し、それらを変換またはフィルタリングできるパイプラインを介して送信して、1 つ以上の出力に転送する柔軟な方法を提供します。

ClusterLogForwarder の主な機能

入力を使用してログメッセージを選択する
出力を使用してログを外部の宛先に転送する
フィルターを使用してログメッセージをフィルタリング、変換、およびドロップする
入力、フィルター、出力を接続するログ転送パイプラインを定義する

このリリースの Cluster Logging では、管理者が ClusterLogForwarder に関連付けられたサービスアカウントにログ収集権限を明示的に付与する必要があります。これは、ClusterLogging およびオプションで ClusterLogForwarder.logging.openshift.io リソースで構成されるレガシーロギングシナリオでは、以前のリリースでは必要ありませんでした。

Red Hat OpenShift Logging Operator は、collect-audit-logs、collect-application-logs、collect-infrastructure-logs クラスターロールを提供します。これにより、コレクターは監査ログ、アプリケーションログ、およびインフラストラクチャーログをそれぞれ収集できます。

必要なクラスターロールをサービスアカウントにバインドして、ログ収集をセットアップします。

1.1.1. レガシーサービスアカウント
リンクのコピー

既存のレガシーサービスアカウント logcollector を使用するには、次の ClusterRoleBinding を作成します。

oc adm policy add-cluster-role-to-user collect-application-logs system:serviceaccount:openshift-logging:logcollector

$ oc adm policy add-cluster-role-to-user collect-application-logs system:serviceaccount:openshift-logging:logcollector

Copy to Clipboard

Toggle word wrap

oc adm policy add-cluster-role-to-user collect-infrastructure-logs system:serviceaccount:openshift-logging:logcollector

$ oc adm policy add-cluster-role-to-user collect-infrastructure-logs system:serviceaccount:openshift-logging:logcollector

Copy to Clipboard

Toggle word wrap

さらに、監査ログを収集する場合は、次の ClusterRoleBinding を作成します。

oc adm policy add-cluster-role-to-user collect-audit-logs system:serviceaccount:openshift-logging:logcollector

$ oc adm policy add-cluster-role-to-user collect-audit-logs system:serviceaccount:openshift-logging:logcollector

Copy to Clipboard

Toggle word wrap

1.1.2. サービスアカウントの作成
リンクのコピー

前提条件

Red Hat OpenShift Logging Operator が openshift-logging namespace にインストールされている。
管理者権限がある。

手順

コレクターのサービスアカウントを作成します。認証にトークンを必要とするストレージにログを書き込む場合は、サービスアカウントにトークンを含める必要があります。

適切なクラスターロールをサービスアカウントにバインドします。

バインドコマンドの例

oc adm policy add-cluster-role-to-user <cluster_role_name> system:serviceaccount:<namespace_name>:<service_account_name>

$ oc adm policy add-cluster-role-to-user <cluster_role_name> system:serviceaccount:<namespace_name>:<service_account_name>

Copy to Clipboard

Toggle word wrap

1.1.2.1. サービスアカウントのクラスターロールバインディング
リンクのコピー

role_binding.yaml ファイルは、ClusterLogging Operator の ClusterRole を特定の ServiceAccount にバインドし、クラスター全体で Kubernetes リソースを管理できるようにします。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: manager-rolebinding
roleRef:                                           
  apiGroup: rbac.authorization.k8s.io              
  kind: ClusterRole                                
  name: cluster-logging-operator                   
subjects:                                          
  - kind: ServiceAccount                           
    name: cluster-logging-operator                 
    namespace: openshift-logging

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: manager-rolebinding
roleRef:


  apiGroup: rbac.authorization.k8s.io


  kind: ClusterRole


  name: cluster-logging-operator


subjects:


  - kind: ServiceAccount


    name: cluster-logging-operator


    namespace: openshift-logging

Copy to Clipboard

Toggle word wrap

1: roleRef: バインディングが適用される ClusterRole を参照します。
2: apiGroup: RBAC API グループを示し、ClusterRole が Kubernetes の RBAC システムの一部であることを指定します。
3: kind: 参照されるロールがクラスター全体に適用される ClusterRole であることを指定します。
4: name: ServiceAccount にバインドされる ClusterRole の名前 (ここでは cluster-logging-operator)。
5: subjects: ClusterRole から権限が付与されるエンティティー (ユーザーまたはサービスアカウント) を定義します。
6: kind: サブジェクトが ServiceAccount であることを指定します。
7: Name: 権限が付与される ServiceAccount の名前。
8: namespace: ServiceAccount が配置されている namespace を示します。

1.1.2.2. アプリケーションログの書き込み
リンクのコピー

write-application-logs-clusterrole.yaml ファイルは、Loki ロギングアプリケーションにアプリケーションログを書き込む権限を付与する ClusterRole を定義します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-application-logs
rules:                                              
  - apiGroups:                                      
      - loki.grafana.com                            
    resources:                                      
      - application                                 
    resourceNames:                                  
      - logs                                        
    verbs:                                          
      - create

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-application-logs
rules:


  - apiGroups:


      - loki.grafana.com


    resources:


      - application


    resourceNames:


      - logs


    verbs:


      - create

Copy to Clipboard

Toggle word wrap

1: rules: この ClusterRole によって付与される権限を指定します。
2: apiGroups: Loki ログシステムに関連する API グループ loki.grafana.com を参照します。
3: loki.grafana.com: Loki 関連のリソースを管理するための API グループ。
4: resources: この ClusterRole がやり取りする権限を付与するリソースタイプ。
5: application: Loki ログシステム内のアプリケーションリソースを参照します。
6: resourceNames: このロールが管理できるリソースの名前を指定します。
7: logs: 作成できるログリソースを参照します。
8: verbs: リソースで許可されるアクション。
9: create: Loki システムに新しいログを作成する権限を付与します。

1.1.2.3. 監査ログの書き込み
リンクのコピー

write-audit-logs-clusterrole.yaml ファイルは、Loki ロギングシステムに監査ログを作成する権限を付与する ClusterRole を定義します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-audit-logs
rules:                                              
  - apiGroups:                                      
      - loki.grafana.com                            
    resources:                                      
      - audit                                       
    resourceNames:                                  
      - logs                                        
    verbs:                                          
      - create

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-audit-logs
rules:


  - apiGroups:


      - loki.grafana.com


    resources:


      - audit


    resourceNames:


      - logs


    verbs:


      - create

Copy to Clipboard

Toggle word wrap

1: rules: この ClusterRole によって付与される権限を定義します。
2: apiGroups: API グループ loki.grafana.com を指定します。
3: loki.grafana.com: Loki ロギングリソースを管理する API グループ。
4: resources: このロールが管理するリソースタイプ (この場合は audit) を指します。
5: audit: ロールが Loki 内の監査ログを管理することを指定します。
6: resourceNames: ロールがアクセスできる特定のリソースを定義します。
7: logs: このロールで管理できるログを指します。
8: verbs: リソースで許可されるアクション。
9: create: 新しい監査ログを作成する権限を付与します。

1.1.2.4. インフラストラクチャーログの書き込み
リンクのコピー

write-infrastructure-logs-clusterrole.yaml ファイルは、Loki ロギングシステムにインフラストラクチャーログを作成する権限を付与する ClusterRole を定義します。

YAML 例

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-infrastructure-logs
rules:                                              
  - apiGroups:                                      
      - loki.grafana.com                            
    resources:                                      
      - infrastructure                              
    resourceNames:                                  
      - logs                                        
    verbs:                                          
      - create

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-infrastructure-logs
rules:


  - apiGroups:


      - loki.grafana.com


    resources:


      - infrastructure


    resourceNames:


      - logs


    verbs:


      - create

Copy to Clipboard

Toggle word wrap

1: ルール: この ClusterRole が付与する権限を指定します。
2: apiGroups: Loki 関連リソースの API グループを指定します。
3: loki.grafana.com: Loki ロギングシステムを管理する API グループ。
4: resources: このロールが対話できるリソースタイプを定義します。
5: infrastructure: このロールが管理するインフラストラクチャー関連のリソースを指します。
6: resourceNames: このロールが管理できるリソースの名前を指定します。
7: logs: インフラストラクチャーに関連するログリソースを指します。
8: verbs: このロールによって許可されるアクションです。
9: create: Loki システムにインフラストラクチャーログを作成する権限を付与します。

1.1.2.5. ClusterLogForwarder 編集者ロール
リンクのコピー

clusterlogforwarder-editor-role.yaml ファイルは、ユーザーが OpenShift で ClusterLogForwarders を管理できるようにする ClusterRole を定義します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: clusterlogforwarder-editor-role
rules:                                              
  - apiGroups:                                      
      - observability.openshift.io                  
    resources:                                      
      - clusterlogforwarders                        
    verbs:                                          
      - create                                      
      - delete                                      
      - get                                         
      - list                                        
      - patch                                       
      - update                                      
      - watch

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: clusterlogforwarder-editor-role
rules:


  - apiGroups:


      - observability.openshift.io


    resources:


      - clusterlogforwarders


    verbs:


      - create


      - delete


      - get


      - list


      - patch


      - update


      - watch

Copy to Clipboard

Toggle word wrap

1: ルール: この ClusterRole が付与する権限を指定します。
2: apiGroups: OpenShift 固有の API グループを指します。
3: obervability.openshift.io: ロギングなどの可観測性リソースを管理するための API グループ。
4: resources: このロールが管理できるリソースを指定します。
5: clusterlogforwarders: OpenShift のログ転送リソースを指します。
6: verbs: ClusterLogForwarders で許可されるアクションを指定します。
7: create: 新しい ClusterLogForwarders を作成する権限を付与します。
8: delete: 既存の ClusterLogForwarders を削除する権限を付与します。
9: get: 特定の ClusterLogForwarders に関する情報を取得する権限を付与します。
10: list: すべての ClusterLogForwarders のリスト表示を許可します。
11: patch: ClusterLogForwarders を部分的に変更する権限を付与します。
12: update: 既存の ClusterLogForwarders を更新する権限を付与します。
13: watch: ClusterLogForwarders への変更を監視する権限を付与します。

1.2. コレクターのログレベルの変更
リンクのコピー

コレクターでログレベルを変更するには、observability.openshift.io/log-level アノテーションを trace、debug、info、warn、error、および off に設定します。

ログレベルアノテーションの例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: collector
  annotations:
    observability.openshift.io/log-level: debug
# ...

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: collector
  annotations:
    observability.openshift.io/log-level: debug
# ...

Copy to Clipboard

Toggle word wrap

1.3. Operator の管理
リンクのコピー

ClusterLogForwarder リソースには、Operator がリソースをアクティブに管理するか、管理対象外のままにするかを制御する managementState フィールドがあります。

Managed: (デフォルト) Operator は、CLF 仕様の目的の状態に一致するようにロギングリソースを駆動します。
管理対象外: Operator は、ロギングコンポーネントに関連するアクションを一切実行しません。

これにより、管理者は managementState を Unmanaged に設定して、ログ転送を一時的に停止できます。

1.4. ClusterLogForwarder の構造
リンクのコピー

CLF には、次の主要コンポーネントを含む spec セクションがあります。

Inputs: 転送するログメッセージを選択します。組み込みの入力タイプである application、infrastructure、および audit は、クラスターのさまざまな部分からログを転送します。カスタム入力を定義することもできます。
出力: ログを転送する宛先を定義します。各出力には、一意の名前とタイプ固有の設定があります。
Pipelines: ログが入力からフィルターを経由して出力されるまでのパスを定義します。パイプラインには一意の名前があり、入力名、出力名、フィルター名のリストで構成されます。
Filters: パイプライン内のログメッセージを変換またはドロップします。ユーザーは、特定のログフィールドに一致するフィルターを定義し、メッセージをドロップまたは変更できます。フィルターはパイプラインで指定された順序で適用されます。

1.4.1. Inputs
リンクのコピー

入力は spec.inputs の下の配列で設定されます。組み込みの入力タイプは 3 つあります。

application

インフラストラクチャー namespace 内のログを除く、すべてのアプリケーションコンテナーからログを選択します。

infrastructure

次の namespace で実行されているノードおよびインフラストラクチャーコンポーネントからログを選択します。

default
kube
openshift
kube- または openshift- 接頭辞を含む

audit

OpenShift API サーバー監査ログ、Kubernetes API サーバー監査ログ、ovn 監査ログ、および auditd からのノード監査ログからログを選択します。

ユーザーは、特定の namespace からログを選択するか、または Pod ラベルを使用してログを選択する application のカスタム入力を定義できます。

1.4.2. 出力
リンクのコピー

出力は spec.outputs の下の配列で設定されます。各出力には一意の名前とタイプが必要です。サポートされているタイプは次のとおりです。

azureMonitor: ログを Azure Monitor に転送します。
cloudwatch: ログを AWS CloudWatch に転送します。
googleCloudLogging: ログを Google Cloud Logging に転送します。
http: ログを汎用 HTTP エンドポイントに転送します。
kafka: ログを Kafka ブローカーに転送します。
loki: ログを Loki ロギングバックエンドに転送します。
lokistack: ログを、OpenShift Container Platform 認証インテグレーションによる Loki と Web プロキシーのロギングがサポートされている組み合わせに転送します。LokiStack のプロキシーは、OpenShift Container Platform 認証を使用してマルチテナンシーを適用します。
otlp: OpenTelemetry プロトコルを使用してログを転送します。
splunk: ログを Splunk に転送します。
syslog: ログを外部の syslog サーバーに転送します。

各出力タイプには独自の設定フィールドがあります。

1.4.3. OTLP 出力の設定
リンクのコピー

クラスター管理者は、OpenTelemetry Protocol (OTLP) 出力を使用してログを収集し、OTLP レシーバーに転送できます。OTLP 出力は、OpenTelemetry Observability フレームワークで定義された仕様を使用して、HTTP を介して JSON エンコーディングでデータを送信します。

重要

OpenTelemetry Protocol (OTLP) 出力ログフォワーダーは、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

手順

OTLP を使用した転送を有効にするには、次のアノテーションを追加して ClusterLogForwarder カスタムリソース (CR) を作成または編集します。

ClusterLogForwarder CR の例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  annotations:
    observability.openshift.io/tech-preview-otlp-output: "enabled" 
  name: clf-otlp
spec:
  serviceAccount:
    name: <service_account_name>
  outputs:
  - name: otlp
    type: otlp
    otlp:
      tuning:
        compression: gzip
        deliveryMode: AtLeastOnce
        maxRetryDuration: 20
        maxWrite: 10M
        minRetryDuration: 5
      url: <otlp_url> 
  pipelines:
  - inputRefs:
    - application
    - infrastructure
    - audit
    name: otlp-logs
    outputRefs:
    - otlp

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  annotations:
    observability.openshift.io/tech-preview-otlp-output: "enabled"


  name: clf-otlp
spec:
  serviceAccount:
    name: <service_account_name>
  outputs:
  - name: otlp
    type: otlp
    otlp:
      tuning:
        compression: gzip
        deliveryMode: AtLeastOnce
        maxRetryDuration: 20
        maxWrite: 10M
        minRetryDuration: 5
      url: <otlp_url>


  pipelines:
  - inputRefs:
    - application
    - infrastructure
    - audit
    name: otlp-logs
    outputRefs:
    - otlp

Copy to Clipboard

Toggle word wrap

1: このアノテーションを使用して OpenTelemetry Protocol (OTLP) 出力を有効にします。これはテクノロジープレビュー機能です。
2: これは絶対 URL でなければならず、ログの送信先である OTLP エンドポイントのプレースホルダーです。

注記

OTLP 出力では OpenTelemetry データモデルが使用されますが、これは他の出力タイプで使用される ViaQ データモデルとは異なります。これは、OpenTelemetry Observability フレームワークで定義された OpenTelemetry Semantic Conventions を使用することで OTLP に準拠しています。

1.4.4. Pipelines
リンクのコピー

パイプラインは spec.pipelines の下の配列で設定されます。各パイプラインには一意の名前があり、次の要素で構成される必要があります。

inputRefs: このパイプラインにログを転送する入力の名前。
outputRefs: ログを送信する出力の名前。
filterRefs: (オプション) 適用するフィルターの名前。

filterRef の順序は、順次適用されるため重要です。以前のフィルターは、後のフィルターで処理されないメッセージをドロップする可能性があります。

1.4.5. Filters
リンクのコピー

フィルターは spec.filters の下の配列で設定されます。構造化フィールドの値に基づいて受信ログメッセージを照合し、変更または削除できます。

管理者は次のタイプのフィルターを設定できます。

1.4.6. 複数行の例外検出の有効化
リンクのコピー

コンテナーログの複数行のエラー検出を有効にします。

警告

この機能を有効にすると、パフォーマンスに影響が出る可能性があり、追加のコンピューティングリソースや代替のロギングソリューションが必要になる場合があります。

ログパーサーは頻繁に、同じ例外の個別の行を別々の例外として誤って識別します。その結果、余分なログエントリーが発生し、トレースされた情報が不完全または不正確な状態で表示されます。

Java 例外の例

java.lang.NullPointerException: Cannot invoke "String.toString()" because "<param1>" is null
    at testjava.Main.handle(Main.java:47)
    at testjava.Main.printMe(Main.java:19)
    at testjava.Main.main(Main.java:10)

java.lang.NullPointerException: Cannot invoke "String.toString()" because "<param1>" is null
    at testjava.Main.handle(Main.java:47)
    at testjava.Main.printMe(Main.java:19)
    at testjava.Main.main(Main.java:10)

Copy to Clipboard

Toggle word wrap

ロギングを有効にして複数行の例外を検出し、それらを 1 つのログエントリーに再アセンブルできるようにする場合は、ClusterLogForwarder カスタムリソース (CR) に .spec.filters の下の detectMultilineErrors フィールドが含まれていることを確認します。

ClusterLogForwarder CR の例

apiVersion: "observability.openshift.io/v1"
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: <log_forwarder_namespace>
spec:
  serviceAccount:
    name: <service_account_name>
  filters:
  - name: <name>
    type: detectMultilineException
  pipelines:
    - inputRefs:
        - <input-name>
      name: <pipeline-name>
      filterRefs:
        - <filter-name>
      outputRefs:
        - <output-name>

apiVersion: "observability.openshift.io/v1"
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: <log_forwarder_namespace>
spec:
  serviceAccount:
    name: <service_account_name>
  filters:
  - name: <name>
    type: detectMultilineException
  pipelines:
    - inputRefs:
        - <input-name>
      name: <pipeline-name>
      filterRefs:
        - <filter-name>
      outputRefs:
        - <output-name>

Copy to Clipboard

Toggle word wrap

1.4.6.1. 詳細
リンクのコピー

ログメッセージが例外スタックトレースを形成する連続したシーケンスとして表示される場合、それらは単一の統合ログレコードに結合されます。最初のログメッセージの内容は、シーケンス内のすべてのメッセージフィールドの連結コンテンツに置き換えられます。

コレクターは次の言語をサポートしています。

Java
JS
Ruby
Python
golang
PHP
Dart

1.4.7. 不要なログレコードを削除するコンテンツフィルターの設定
リンクのコピー

すべてのクラスターログを収集すると、大量のデータが生成されますが、これは移動および保存にコストがかかる可能性があります。ボリュームを減らすには、転送前に不要なログレコードを除外するように ドロップ フィルターを設定することができます。ログコレクターは、フィルターに対してログストリームを評価し、指定された条件に一致するレコードをドロップします。

ドロップ フィルターは test フィールドを使用して、ログレコードを評価するための条件を 1 つ以上定義します。フィルターは次のルールを適用して、レコードをドロップするかどうかを確認します。

指定されたすべての条件が true と評価されると、テストに合格します。
テストに合格すると、フィルターはログレコードをドロップします。
ドロップ フィルター設定で複数のテストを定義すると、テストに合格すると、フィルターはログレコードをドロップします。
たとえば、条件の評価でエラーがある場合（参照フィールドがないなど）、その条件は false と評価されます。

前提条件

Red Hat OpenShift Logging Operator がインストールされている。
管理者権限がある。
ClusterLogForwarder カスタムリソース (CR) を作成した。
OpenShift CLI (oc) がインストールされている。

手順

既存の ClusterLogForwarder 設定を抽出し、ローカルファイルとして保存します。
```
oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
```
```
$ oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
```
Copy to Clipboard Toggle word wrap
詳細は、以下のようになります。
- <name > は、設定する ClusterLogForwarder インスタンスの名前です。
- <namespace > は、ClusterLogForwarder インスタンスを作成した namespace です（例： openshift-logging ）。
- <filename& gt; は、設定を保存するローカルファイルの名前です。
不要なログレコードを ClusterLogForwarder CR の filter 仕様 に ドロップする設定を追加します。
ClusterLogForwarder CR の例
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  # ...
  filters:
  - name: drop-filter
    type: drop 
    drop: 
    - test: 
      - field: .kubernetes.labels."app.version-1.2/beta" 
        matches: .+ 
      - field: .kubernetes.pod_name
        notMatches: "my-pod" 
  pipelines:
  - name: my-pipeline 
    filterRefs:
    - drop-filter
  # ...
```
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  # ...
  filters:
  - name: drop-filter
    type: drop 
```
1
```
    drop: 
```
2
```
    - test: 
```
3
```
      - field: .kubernetes.labels."app.version-1.2/beta" 
```
4
```
        matches: .+ 
```
5
```
      - field: .kubernetes.pod_name
        notMatches: "my-pod" 
```
6
```
  pipelines:
  - name: my-pipeline 
```
7
```
    filterRefs:
    - drop-filter
  # ...
```
Copy to Clipboard Toggle word wrap
1
フィルターのタイプを指定します。drop フィルターは、フィルター設定に一致するログレコードをドロップします。
2
ドロップ フィルターの設定オプションを指定します。
3
フィルターがログレコードをドロップするかどうかを評価するための条件を指定します。
4
ログレコードのフィールドへのドットで区切られたパスを指定します。
各パスのセグメントには、英数字とアンダースコア、a-z、A-Z、0-9、_ を含めることができます（例： .kubernetes.namespace_name ）。
セグメントに異なる文字が含まれる場合、セグメントは引用符で囲む必要があります（例： .kubernetes.labels."app.version-1.2/beta "）。
単一の テスト設定に複数のフィールドパスを含めることができますが、テスト に合格し、ドロップ フィルターを適用するには、すべて true と評価する必要があります。
5
正規表現を指定します。ログレコードがこの正規表現と一致する場合は、破棄されます。
6
正規表現を指定します。ログレコードがこの正規表現に一致しない場合、破棄されます。
7
ドロップ フィルターを使用するパイプラインを指定します。
注記
単一の field パスに対して matches または notMatches 条件のいずれかを設定できますが、両方を設定することはできません。
優先度の高いログレコードのみを保持する設定例
```
# ...
filters:
- name: important
  type: drop
  drop:
  - test:
    - field: .message
      notMatches: "(?i)critical|error"
    - field: .level
      matches: "info|warning"
# ...
```
```
# ...
filters:
- name: important
  type: drop
  drop:
  - test:
    - field: .message
      notMatches: "(?i)critical|error"
    - field: .level
      matches: "info|warning"
# ...
```
Copy to Clipboard Toggle word wrap
複数のテストを使用した設定例
```
# ...
filters:
- name: important
  type: drop
  drop:
  - test: 
    - field: .kubernetes.namespace_name
      matches: "openshift.*"
  - test: 
    - field: .log_type
      matches: "application"
    - field: .kubernetes.pod_name
      notMatches: "my-pod"
# ...
```
```
# ...
filters:
- name: important
  type: drop
  drop:
  - test: 
```
1
```
    - field: .kubernetes.namespace_name
      matches: "openshift.*"
  - test: 
```
2
```
    - field: .log_type
      matches: "application"
    - field: .kubernetes.pod_name
      notMatches: "my-pod"
# ...
```
Copy to Clipboard Toggle word wrap
1
フィルターは、openshift で始まる namespace を含むログを破棄します。
2
フィルターは、Pod 名に my-pod を持たないアプリケーションログを破棄します。
次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.4.8. API 監査フィルターの概要
リンクのコピー

OpenShift API サーバーは、すべての API 呼び出しの監査イベントを生成します。これらのイベントには、要求、応答、およびリクエスターのアイデンティティーに関する詳細が含まれます。これにより、大量のデータが発生する可能性があります。

API 監査フィルターは、ルールを使用して必須ではないイベントを除外し、イベントサイズを縮小することで監査証拠を管理するのに役立ちます。ルールは順番にチェックされ、最初の一致でチェックが停止します。イベント内のデータの量は level フィールドの値によって異なります。

None: イベントはドロップされます。
メタ データ: このイベントには監査メタデータが含まれ、要求および応答本体は除外されます。
リクエスト: イベントには監査メタデータとリクエスト本文が含まれ、応答本文が除外されます。
RequestResponse: このイベントには、すべてのデータ(metadata、request body、および response body)が含まれます。レスポンス本文が非常に大きくなる可能性があります。たとえば、oc get pods -A はクラスター内のすべての Pod の YAML 記述を含むレスポンス本文を生成します。

注記

Vector コレクターがロギングデプロイメントに設定されている場合のみ、API 監査ロギング機能を使用できます。

ClusterLogForwarder カスタムリソース(CR)は、標準の Kubernetes 監査ポリシーと同じ形式を使用します。ClusterLogForwarder CR は、以下の追加機能を提供します。

ワイルドカード

ユーザー、グループ、namespace、およびリソースの名前には、先頭または末尾に * アスタリスク文字を付けることができます。たとえば、openshift-\* namespace は openshift-apiserver または openshift-authentication namespace と一致します。\*/status リソースは Pod/status または Deployment/status リソースと一致します。

デフォルトのルール

ポリシーのルールに一致しないイベントは、以下のようにフィルターされます。

get、list、watch などの読み取り専用システムイベントは削除されます。
サービスアカウントと同じ namespace 内で発生するサービスアカウント書き込みイベントはドロップされます。
他のすべてのイベントは、設定されたレート制限に従って転送されます。

これらのデフォルトを無効にするには、level フィールドのみが含まれるルールでルールリストを終了するか、空のルールを追加します。

応答コードが省略される

省略する整数ステータスコードのリスト。イベントが作成されない HTTP ステータスコードをリストする OmitResponseCodes フィールドを使用して、応答で HTTP ステータスコードに基づいてイベントをドロップできます。デフォルト値は [404, 409, 422, 429] です。値が空のリスト [] の場合、ステータスコードは省略されません。

ClusterLogForwarder CR の監査ポリシーは、OpenShift Container Platform の監査ポリシーに加えて動作します。ClusterLogForwarder CR 監査フィルターは、ログコレクターが転送する内容を変更し、動詞、ユーザー、グループ、namespace、またはリソースでフィルタリングする機能を提供します。複数のフィルターを作成して、同じ監査ストリームの異なるサマリーを異なる場所に送信できます。たとえば、詳細なストリームをローカルクラスターログストアに送信し、詳細度の低いストリームをリモートサイトに送信できます。

重要

監査ログを収集するには、collect-audit-logs クラスターロールが必要です。
提供されている例は、監査ポリシーで可能なルールの範囲を示すことを目的としており、推奨される設定ではありません。

監査ポリシーの例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: example-service-account
  pipelines:
    - name: my-pipeline
      inputRefs:
        - audit 
      filterRefs:
        - my-policy 
      outputRefs:
        - my-output
  filters:
    - name: my-policy
      type: kubeAPIAudit
      kubeAPIAudit:
        # Don't generate audit events for all requests in RequestReceived stage.
        omitStages:
          - "RequestReceived"

        rules:
          # Log pod changes at RequestResponse level
          - level: RequestResponse
            resources:
            - group: ""
              resources: ["pods"]

          # Log "pods/log", "pods/status" at Metadata level
          - level: Metadata
            resources:
            - group: ""
              resources: ["pods/log", "pods/status"]

          # Don't log requests to a configmap called "controller-leader"
          - level: None
            resources:
            - group: ""
              resources: ["configmaps"]
              resourceNames: ["controller-leader"]

          # Don't log watch requests by the "system:kube-proxy" on endpoints or services
          - level: None
            users: ["system:kube-proxy"]
            verbs: ["watch"]
            resources:
            - group: "" # core API group
              resources: ["endpoints", "services"]

          # Don't log authenticated requests to certain non-resource URL paths.
          - level: None
            userGroups: ["system:authenticated"]
            nonResourceURLs:
            - "/api*" # Wildcard matching.
            - "/version"

          # Log the request body of configmap changes in kube-system.
          - level: Request
            resources:
            - group: "" # core API group
              resources: ["configmaps"]
            # This rule only applies to resources in the "kube-system" namespace.
            # The empty string "" can be used to select non-namespaced resources.
            namespaces: ["kube-system"]

          # Log configmap and secret changes in all other namespaces at the Metadata level.
          - level: Metadata
            resources:
            - group: "" # core API group
              resources: ["secrets", "configmaps"]

          # Log all other resources in core and extensions at the Request level.
          - level: Request
            resources:
            - group: "" # core API group
            - group: "extensions" # Version of group should NOT be included.

          # A catch-all rule to log all other requests at the Metadata level.
          - level: Metadata

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: example-service-account
  pipelines:
    - name: my-pipeline
      inputRefs:
        - audit


      filterRefs:
        - my-policy


      outputRefs:
        - my-output
  filters:
    - name: my-policy
      type: kubeAPIAudit
      kubeAPIAudit:
        # Don't generate audit events for all requests in RequestReceived stage.
        omitStages:
          - "RequestReceived"

        rules:
          # Log pod changes at RequestResponse level
          - level: RequestResponse
            resources:
            - group: ""
              resources: ["pods"]

          # Log "pods/log", "pods/status" at Metadata level
          - level: Metadata
            resources:
            - group: ""
              resources: ["pods/log", "pods/status"]

          # Don't log requests to a configmap called "controller-leader"
          - level: None
            resources:
            - group: ""
              resources: ["configmaps"]
              resourceNames: ["controller-leader"]

          # Don't log watch requests by the "system:kube-proxy" on endpoints or services
          - level: None
            users: ["system:kube-proxy"]
            verbs: ["watch"]
            resources:
            - group: "" # core API group
              resources: ["endpoints", "services"]

          # Don't log authenticated requests to certain non-resource URL paths.
          - level: None
            userGroups: ["system:authenticated"]
            nonResourceURLs:
            - "/api*" # Wildcard matching.
            - "/version"

          # Log the request body of configmap changes in kube-system.
          - level: Request
            resources:
            - group: "" # core API group
              resources: ["configmaps"]
            # This rule only applies to resources in the "kube-system" namespace.
            # The empty string "" can be used to select non-namespaced resources.
            namespaces: ["kube-system"]

          # Log configmap and secret changes in all other namespaces at the Metadata level.
          - level: Metadata
            resources:
            - group: "" # core API group
              resources: ["secrets", "configmaps"]

          # Log all other resources in core and extensions at the Request level.
          - level: Request
            resources:
            - group: "" # core API group
            - group: "extensions" # Version of group should NOT be included.

          # A catch-all rule to log all other requests at the Metadata level.
          - level: Metadata

Copy to Clipboard

Toggle word wrap

1: 収集されたログタイプ。このフィールドの値は、監査ログの 監査、アプリケーションログのアプリケーション、インフラストラクチャーログの インフラストラクチャー、またはアプリケーション用に定義された名前付き入力になります。
2: 監査ポリシーの名前。

1.4.9. ラベル式または一致するラベルキーと値を含む入力時でのアプリケーションログのフィルタリング
リンクのコピー

input セレクターを使用して、ラベル式または照合するラベルキーとその値に基づいてアプリケーションログを含めることができます。

手順

ClusterLogForwarder CR の input 仕様にフィルターの設定を追加します。

以下の例は、ラベル式または一致したラベルキー/値に基づいてログを組み込むように ClusterLogForwarder CR を設定する方法を示しています。

ClusterLogForwarder CR の例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        selector:
          matchExpressions:
          - key: env 
            operator: In 
            values: ["prod", "qa"] 
          - key: zone
            operator: NotIn
            values: ["east", "west"]
          matchLabels: 
            app: one
            name: app1
      type: application
# ...

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        selector:
          matchExpressions:
          - key: env


            operator: In


            values: ["prod", "qa"]


          - key: zone
            operator: NotIn
            values: ["east", "west"]
          matchLabels:


            app: one
            name: app1
      type: application
# ...

Copy to Clipboard

Toggle word wrap

1: 照合するラベルキーを指定します。
2: Operator を指定します。有効な値には、In、NotIn、Exists、DoesNotExist などがあります。
3: 文字列値の配列を指定します。Operator 値が Exists または DoesNotExist のいずれかの場合、値の配列は空である必要があります。
4: 正確なキーまたは値のマッピングを指定します。

次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.4.10. ログレコードを削除するコンテンツフィルターの設定
リンクのコピー

プルーニング フィルターを設定する場合、ログコレクターは転送前にログストリームをフィルターに対して評価します。コレクターは、Pod アノテーションなどの値の低いフィールドを削除してログレコードを整理します。

前提条件

Red Hat OpenShift Logging Operator がインストールされている。
管理者権限がある。
ClusterLogForwarder カスタムリソース (CR) を作成した。
OpenShift CLI (oc) がインストールされている。

手順

既存の ClusterLogForwarder 設定を抽出し、ローカルファイルとして保存します。
```
oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
```
```
$ oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
```
Copy to Clipboard Toggle word wrap
詳細は、以下のようになります。
- <name > は、設定する ClusterLogForwarder インスタンスの名前です。
- <namespace > は、ClusterLogForwarder インスタンスを作成した namespace です（例： openshift-logging ）。
- <filename& gt; は、設定を保存するローカルファイルの名前です。
ログレコードを ClusterLogForwarder CR の filters 仕様にプルーニングする設定を追加します。
重要
in および notIn パラメーターの両方を指定すると、プルーニング時に notIn 配列が優先されます。notIn 配列を使用してレコードがプルーニングされると、それらは in 配列を使用してプルーニングされます。
ClusterLogForwarder CR の例
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: my-account
  filters:
  - name: prune-filter
    type: prune 
    prune: 
      in: [.kubernetes.annotations, .kubernetes.namespace_id] 
      notIn: [.kubernetes,.log_type,.message,."@timestamp",.log_source] 
  pipelines:
  - name: my-pipeline 
    filterRefs: ["prune-filter"]
  # ...
```
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: my-account
  filters:
  - name: prune-filter
    type: prune 
```
1
```
    prune: 
```
2
```
      in: [.kubernetes.annotations, .kubernetes.namespace_id] 
```
3
```
      notIn: [.kubernetes,.log_type,.message,."@timestamp",.log_source] 
```
4
```
  pipelines:
  - name: my-pipeline 
```
5
```
    filterRefs: ["prune-filter"]
  # ...
```
Copy to Clipboard Toggle word wrap
1
フィルターのタイプを指定します。prune フィルターでは、設定されたフィールドでログレコードをプルーニングします。
2
プルーニング フィルターの設定オプションを指定します。
in フィールドおよび notIn フィールドは、ログレコードのフィールドへのドットで区切られたパスの配列です。
各パスのセグメントには、英数字とアンダースコア、a-z、A-Z、0-9、_ を含めることができます（例： .kubernetes.namespace_name ）。
セグメントに異なる文字が含まれる場合、セグメントは引用符で囲む必要があります（例： .kubernetes.labels."app.version-1.2/beta "）。
3
オプション：ログレコードから削除するフィールドを指定します。ログコレクターは他のすべてのフィールドを保持します。
4
オプション：ログレコードに保持するフィールドを指定します。ログコレクターは、他のすべてのフィールドを削除します。
5
prune フィルターを適用するパイプラインを指定します。
重要
フィルターはログレコードから .log_type、.log_source、.message フィールドを削除できません。これらは notIn フィールドに含める必要があります。
googleCloudLogging 出力を使用する場合は、notIn フィールドに .hostname を含める必要があります。
次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.5. ソースによる監査およびインフラストラクチャーログ入力のフィルタリング
リンクのコピー

input セレクターを使用して、ログを収集する audit および infrastructure ソースのリストを定義できます。

手順

ClusterLogForwarder CR に audit および infrastructure ソースを定義する設定を追加します。
次の例は、ClusterLogForwarder CR を設定して audit および infrastructure ソースを定義する方法を示しています。
ClusterLogForwarder CR の例
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs1
      type: infrastructure
      infrastructure:
        sources: 
          - node
    - name: mylogs2
      type: audit
      audit:
        sources: 
          - kubeAPI
          - openshiftAPI
          - ovn
# ...
```
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs1
      type: infrastructure
      infrastructure:
        sources: 
```
1
```
          - node
    - name: mylogs2
      type: audit
      audit:
        sources: 
```
2
```
          - kubeAPI
          - openshiftAPI
          - ovn
# ...
```
Copy to Clipboard Toggle word wrap
1
収集するインフラストラクチャーソースのリストを指定します。有効なソースには以下が含まれます。
node: ノードからのジャーナルログ
container: namespace にデプロイされたワークロードからのログ
2
収集する audit ソースのリストを指定します。有効なソースには以下が含まれます。
kubeAPI: Kubernetes API サーバーからのログ
openshiftAPI: OpenShift API サーバーからのログ
auditd: ノードの auditd サービスからのログ
ovn: オープン仮想ネットワークサービスからのログ
次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.6. namespace またはコンテナー名を含めるか除外して入力時にアプリケーションログをフィルタリングする手順
リンクのコピー

input セレクターを使用して、namespace とコンテナー名に基づいてアプリケーションログを含めたり除外したりできます。

手順

ClusterLogForwarder CR に namespace とコンテナー名を含めるか除外するかの設定を追加します。

以下の例は、namespace およびコンテナー名を含めるか、除外するように ClusterLogForwarder CR を設定する方法を示しています。

ClusterLogForwarder CR の例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        includes:
          - namespace: "my-project" 
            container: "my-container" 
        excludes:
          - container: "other-container*" 
            namespace: "other-namespace" 
      type: application
# ...

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        includes:
          - namespace: "my-project"


            container: "my-container"


        excludes:
          - container: "other-container*"


            namespace: "other-namespace"


      type: application
# ...

Copy to Clipboard

Toggle word wrap

1: ログがこれらの namespace からのみ収集されることを指定します。
2: ログがこれらのコンテナーからのみ収集されることを指定します。
3: ログを収集するときに無視する namespace のパターンを指定します。
4: ログを収集するときに無視するコンテナーのセットを指定します。

注記

excludes フィールドは includes フィールドよりも優先されます。

次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

第2章 LokiStack ストレージの設定
リンクのコピー

アプリケーション、監査、インフラストラクチャー関連のログを保存するように LokiStack CR を設定できます。

Loki は、水平スケーリング可能で可用性の高いマルチテナントログ集約システムで、OpenShift Observability UI で視覚化できる Logging for Red Hat OpenShift 用の GA ログストアとして提供されます。OpenShift Logging が提供する Loki 設定は、収集されたログを使用してユーザーが迅速にトラブルシューティングを実行できるように設計された短期ログストアです。この目的のために、Logging for Red Hat OpenShift の Loki 設定は短期ストレージを備えており、最新のクエリーに最適化されています。

重要

長期間にわたる保存やクエリーの場合、ユーザーはクラスター外部のログストアを探す必要があります。Loki のサイズ設定は、最大 30 日間の短期ストレージに対してのみテストおよびサポートされます。

2.1. Loki デプロイメントのサイズ
リンクのコピー

Loki のサイズは 1x.<size> の形式に従います。この場合の 1x はインスタンスの数を、<size> は性能を指定します。

1x.pico 設定は、最小限のリソースと制限要件を持つ単一の Loki デプロイメントを定義し、すべての Loki コンポーネントに高可用性 (HA) サポートを提供します。この設定は、単一のレプリケーションファクターまたは自動圧縮を必要としないデプロイメントに適しています。

ディスク要求はサイズ設定にかかわらず類似しているため、お客様はさまざまなサイズをテストして、それぞれのデプロイメントニーズに最適なサイズを決定できます。

重要

デプロイメントサイズの 1x の数は変更できません。

Expand

表2.1 Loki のサイズ
	1x.demo	1x.pico [6.1+ のみ]	1x.extra-small	1x.small	1x.medium
Data transfer	デモ使用のみ	50 GB/日	100 GB/日	500 GB/日	2 TB/日
1 秒あたりのクエリー数 (QPS)	デモ使用のみ	200 ミリ秒で 1 - 25 QPS	200 ミリ秒で 1 - 25 QPS	200 ミリ秒で 25 - 50 QPS	200 ミリ秒で 25 - 75 QPS
レプリケーション係数	なし	2	2	2	2
合計 CPU 要求	なし	仮想 CPU 7 個	仮想 CPU 14 個	仮想 CPU 34 個	仮想 CPU 54 個
ルーラーを使用する場合の合計 CPU リクエスト	なし	仮想 CPU 8 個	仮想 CPU 16 個	仮想 CPU 42 個	仮想 CPU 70 個
合計メモリー要求	なし	17 Gi	31 Gi	67 Gi	139 Gi
ルーラーを使用する場合の合計メモリーリクエスト	なし	18 Gi	35 Gi	83 Gi	171 Gi
合計ディスク要求	40 Gi	590 Gi	430 Gi	430 Gi	590 Gi
ルーラーを使用する場合の合計ディスクリクエスト	60 Gi	910 Gi	750Gi	750Gi	910 Gi

2.2. 前提条件
リンクのコピー

CLI または Web コンソールを使用して Loki Operator をインストールしている。
ClusterLogForwarder を作成するのと同じ namespace に serviceAccount がある。
serviceAccount に collect-audit-logs、collect-application-logs、collect-infrastructure-logs のクラスターロールが割り当てられている。

2.3. コアのセットアップと設定
リンクのコピー

ロールベースのアクセス制御、基本的なモニタリング、および Loki をデプロイするための Pod の配置。

2.3.1. LokiStack ルールの RBAC 権限の認可
リンクのコピー

管理者は、クラスターロールをユーザー名にバインドすることで、ユーザーが独自のアラートおよび記録ルールを作成および管理できるようにすることができます。クラスターロールは、ユーザーに必要なロールベースのアクセス制御 (RBAC) 権限を含む ClusterRole オブジェクトとして定義されます。

LokiStack では、アラートおよび記録ルール用の次のクラスターロールが利用できます。

Expand

ルール名	説明
`alertingrules.loki.grafana.com-v1-admin`	このロールを持つユーザーは、アラートルールを管理する管理レベルのアクセス権を持ちます。このクラスターロールは、`loki.grafana.com/v1` API グループ内の `AlertingRule` リソースを作成、読み取り、更新、削除、リスト表示、および監視する権限を付与します。
`alertingrules.loki.grafana.com-v1-crdview`	このロールを持つユーザーは、`loki.grafana.com/v1` API グループ内の `AlertingRule` リソースに関連するカスタムリソース定義 (CRD) の定義を表示できますが、これらのリソースを変更または管理する権限を持ちません。
`alertingrules.loki.grafana.com-v1-edit`	このロールを持つユーザーは、`AlertingRule` リソースを作成、更新、および削除する権限を持ちます。
`alertingrules.loki.grafana.com-v1-view`	このロールを持つユーザーは、`loki.grafana.com/v1` API グループ内の `AlertingRule` リソースを読み取ることができます。既存のアラートルールの設定、ラベル、およびアノテーションを検査できますが、それらを変更することはできません。
`recordingrules.loki.grafana.com-v1-admin`	このロールを持つユーザーは、記録ルールを管理する管理レベルのアクセス権を持ちます。このクラスターロールは、`loki.grafana.com/v1` API グループ内の `RecordingRule` リソースを作成、読み取り、更新、削除、リスト表示、および監視する権限を付与します。
`recordingrules.loki.grafana.com-v1-crdview`	このロールを持つユーザーは、`loki.grafana.com/v1` API グループ内の `RecordingRule` リソースに関連するカスタムリソース定義 (CRD) の定義を表示できますが、これらのリソースを変更または管理する権限を持ちません。
`recordingrules.loki.grafana.com-v1-edit`	このロールを持つユーザーは、`RecordingRule` リソースを作成、更新、および削除する権限を持ちます。
`recordingrules.loki.grafana.com-v1-view`	このロールを持つユーザーは、`loki.grafana.com/v1` API グループ内の `RecordingRule` リソースを読み取ることができます。既存のアラートルールの設定、ラベル、およびアノテーションを検査できますが、それらを変更することはできません。

2.3.1.1. 例
リンクのコピー

ユーザーにクラスターロールを適用するには、既存のクラスターロールを特定のユーザー名にバインドする必要があります。

クラスターロールは、使用するロールバインディングの種類に応じて、クラスタースコープまたは namespace スコープにすることができます。RoleBinding オブジェクトを使用する場合は、oc adm policy add-role-to-user コマンドを使用する場合と同様に、クラスターロールが指定した namespace にのみ適用されます。ClusterRoleBinding オブジェクトを使用する場合は、oc adm policy add-cluster-role-to-user コマンドを使用する場合と同様に、クラスターロールがクラスター内のすべての namespace に適用されます。

次のコマンド例では、指定したユーザーに、クラスター内の特定の namespace のアラートルールに対する作成、読み取り、更新、および削除 (CRUD) 権限を付与します。

特定の namespace のアラートルールに対する CRUD 権限を付与するクラスターロールバインディングコマンドの例

oc adm policy add-role-to-user alertingrules.loki.grafana.com-v1-admin -n <namespace> <username>

$ oc adm policy add-role-to-user alertingrules.loki.grafana.com-v1-admin -n <namespace> <username>

Copy to Clipboard

Toggle word wrap

次のコマンドは、指定したユーザーに、すべての namespace のアラートルールに対する管理者権限を付与します。

管理者権限を付与するクラスターロールバインディングコマンドの例

oc adm policy add-cluster-role-to-user alertingrules.loki.grafana.com-v1-admin <username>

$ oc adm policy add-cluster-role-to-user alertingrules.loki.grafana.com-v1-admin <username>

Copy to Clipboard

Toggle word wrap

2.3.2. Loki を使用したログベースのアラートルールの作成
リンクのコピー

AlertingRule CR には、単一の LokiStack インスタンスのアラートルールグループを宣言するために使用する、仕様および Webhook 検証定義のセットが含まれます。Webhook 検証定義は、ルール検証条件もサポートします。

AlertingRule CR に無効な interval 期間が含まれる場合、無効なアラートルールです。
AlertingRule CR に無効な for 期間が含まれる場合、無効なアラートルールです。
AlertingRule CR に無効な LogQL expr が含まれる場合、無効なアラートルールです。
AlertingRule CR に同じ名前のグループが 2 つ含まれる場合、無効なアラートルールです。
上記のいずれも該当しない場合、アラートルールは有効とみなされます。

Expand

表2.2 AlertingRule の定義
テナントタイプ	`AlertingRule` CR の有効な namespace
application	`<your_application_namespace>`
audit	`openshift-logging`
infrastructure	`openshift-/`、`kube-/\`、`default`

手順

AlertingRule カスタムリソース (CR) を作成します。

インフラストラクチャー AlertingRule CR の例

  apiVersion: loki.grafana.com/v1
  kind: AlertingRule
  metadata:
    name: loki-operator-alerts
    namespace: openshift-operators-redhat 
    labels: 
      openshift.io/<label_name>: "true"
  spec:
    tenantID: "infrastructure" 
    groups:
      - name: LokiOperatorHighReconciliationError
        rules:
          - alert: HighPercentageError
            expr: | 
              sum(rate({kubernetes_namespace_name="openshift-operators-redhat", kubernetes_pod_name=~"loki-operator-controller-manager.*"} |= "error" [1m])) by (job)
                /
              sum(rate({kubernetes_namespace_name="openshift-operators-redhat", kubernetes_pod_name=~"loki-operator-controller-manager.*"}[1m])) by (job)
                > 0.01
            for: 10s
            labels:
              severity: critical 
            annotations:
              summary: High Loki Operator Reconciliation Errors 
              description: High Loki Operator Reconciliation Errors

  apiVersion: loki.grafana.com/v1
  kind: AlertingRule
  metadata:
    name: loki-operator-alerts
    namespace: openshift-operators-redhat


    labels:


      openshift.io/<label_name>: "true"
  spec:
    tenantID: "infrastructure"


    groups:
      - name: LokiOperatorHighReconciliationError
        rules:
          - alert: HighPercentageError
            expr: |


              sum(rate({kubernetes_namespace_name="openshift-operators-redhat", kubernetes_pod_name=~"loki-operator-controller-manager.*"} |= "error" [1m])) by (job)
                /
              sum(rate({kubernetes_namespace_name="openshift-operators-redhat", kubernetes_pod_name=~"loki-operator-controller-manager.*"}[1m])) by (job)
                > 0.01
            for: 10s
            labels:
              severity: critical


            annotations:
              summary: High Loki Operator Reconciliation Errors


              description: High Loki Operator Reconciliation Errors

Copy to Clipboard

Toggle word wrap

1: この AlertingRule CR が作成される namespace には、LokiStack spec.rules.namespaceSelector 定義に一致するラベルが必要です。
2: labels ブロックは、LokiStack の spec.rules.selector 定義と一致する必要があります。
3: infrastructure テナントの AlertingRule CR は、openshift-*、kube-\*、または default namespaces でのみサポートされます。
4: kubernetes_namespace_name: の値は、metadata.namespace の値と一致する必要があります。
5: この必須フィールドの値は、critical、warning、または info である必要があります。
6: このフィールドは必須です。
7: このフィールドは必須です。

アプリケーション AlertingRule CR の例

  apiVersion: loki.grafana.com/v1
  kind: AlertingRule
  metadata:
    name: app-user-workload
    namespace: app-ns 
    labels: 
      openshift.io/<label_name>: "true"
  spec:
    tenantID: "application"
    groups:
      - name: AppUserWorkloadHighError
        rules:
          - alert:
            expr: | 
              sum(rate({kubernetes_namespace_name="app-ns", kubernetes_pod_name=~"podName.*"} |= "error" [1m])) by (job)
            for: 10s
            labels:
              severity: critical 
            annotations:
              summary:  
              description:

  apiVersion: loki.grafana.com/v1
  kind: AlertingRule
  metadata:
    name: app-user-workload
    namespace: app-ns


    labels:


      openshift.io/<label_name>: "true"
  spec:
    tenantID: "application"
    groups:
      - name: AppUserWorkloadHighError
        rules:
          - alert:
            expr: |


              sum(rate({kubernetes_namespace_name="app-ns", kubernetes_pod_name=~"podName.*"} |= "error" [1m])) by (job)
            for: 10s
            labels:
              severity: critical


            annotations:
              summary:


              description:

Copy to Clipboard

Toggle word wrap

1: この AlertingRule CR が作成される namespace には、LokiStack spec.rules.namespaceSelector 定義に一致するラベルが必要です。
2: labels ブロックは、LokiStack の spec.rules.selector 定義と一致する必要があります。
3: kubernetes_namespace_name: の値は、metadata.namespace の値と一致する必要があります。
4: この必須フィールドの値は、critical、warning、または info である必要があります。
5: この必須フィールドの値は、ルールの概要です。
6: この必須フィールドの値は、ルールの詳細な説明です。

AlertingRule CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

2.3.3. メンバーリストの作成の失敗を許容する Loki の設定
リンクのコピー

OpenShift Container Platform クラスターでは、管理者は通常、非プライベート IP ネットワーク範囲を使用します。その結果、LokiStack メンバーリストはデフォルトでプライベート IP ネットワークのみを使用するため、LokiStack メンバーリストの設定は失敗します。

管理者は、メンバーリスト設定の Pod ネットワークを選択できます。LokiStack カスタムリソース (CR) を変更して、hashRing 仕様で podIP アドレスを使用できます。LokiStack CR を設定するには、以下のコマンドを使用します。

oc patch LokiStack logging-loki -n openshift-logging  --type=merge -p '{"spec": {"hashRing":{"memberlist":{"instanceAddrType":"podIP"},"type":"memberlist"}}}'

$ oc patch LokiStack logging-loki -n openshift-logging  --type=merge -p '{"spec": {"hashRing":{"memberlist":{"instanceAddrType":"podIP"},"type":"memberlist"}}}'

Copy to Clipboard

Toggle word wrap

podIP を含む LokiStack の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  hashRing:
    type: memberlist
    memberlist:
      instanceAddrType: podIP
# ...

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  hashRing:
    type: memberlist
    memberlist:
      instanceAddrType: podIP
# ...

Copy to Clipboard

Toggle word wrap

2.3.4. Loki でストリームベースの保持の有効化
リンクのコピー

ログストリームに基づいて保持ポリシーを設定できます。保持ルールは、グローバルに、テナントごと、またはその両方を設定できます。両方で設定すると、グローバルルールの前にテナントルールが適用されます。

重要

s3 バケットまたは LokiStack カスタムリソース (CR) に保存期間が定義されていない場合、ログは削除されず、s3 バケットに永久に残り、s3 ストレージがいっぱいになる可能性があります。

注記

Logging バージョン 5.9 以降はスキーマ v12 をサポートしますが、今後の互換性にはスキーマ v13 を推奨します。
コスト効率の高いログプルーニングの場合、保持ポリシーをオブジェクトストレージプロバイダーに直接設定します。ストレージプロバイダーのライフサイクル管理機能を使用して、古いログが自動的に削除されるようにします。これにより Loki からの追加処理や S3 へのリクエストの削除も回避されます。
オブジェクトストレージがライフサイクルポリシーをサポートしていない場合は、内部で保持するように LokiStack を設定する必要があります。サポートされる保持期間は最大 30 日です。

前提条件

管理者権限がある。
Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。

手順

ストリームベースの保持を有効にするには、LokiStack CR を作成し、YAML ファイルとして保存します。次の例では、lokistack.yaml という名前です。

S3 のグローバルストリームベースの保持の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
   global: 
      retention: 
        days: 20
        streams:
        - days: 4
          priority: 1
          selector: '{kubernetes_namespace_name=~"test.+"}' 
        - days: 1
          priority: 1
          selector: '{log_type="infrastructure"}'
  managementState: Managed
  replicationFactor: 1
  size: 1x.small
  storage:
    schemas:
    - effectiveDate: "2020-10-11"
      version: v13
    secret:
      name: logging-loki-s3
      type: s3
  storageClassName: gp3-csi
  tenants:
    mode: openshift-logging

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
   global:


      retention:


        days: 20
        streams:
        - days: 4
          priority: 1
          selector: '{kubernetes_namespace_name=~"test.+"}'


        - days: 1
          priority: 1
          selector: '{log_type="infrastructure"}'
  managementState: Managed
  replicationFactor: 1
  size: 1x.small
  storage:
    schemas:
    - effectiveDate: "2020-10-11"
      version: v13
    secret:
      name: logging-loki-s3
      type: s3
  storageClassName: gp3-csi
  tenants:
    mode: openshift-logging

Copy to Clipboard

Toggle word wrap

1: すべてのログストリームの保持ポリシーを設定します。このポリシーは、オブジェクトストレージに保存されたログの保持期間には影響しません。
2: retention ブロックを CR に追加して、クラスターでの 保持 を有効にします。
3: LogQL クエリーを指定してログストリームを保持ルールに一致させます。

S3 のテナントごとのストリームベースの保持の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
    global:
      retention:
        days: 20
    tenants: 
      application:
        retention:
          days: 1
          streams:
            - days: 4
              selector: '{kubernetes_namespace_name=~"test.+"}' 
      infrastructure:
        retention:
          days: 5
          streams:
            - days: 1
              selector: '{kubernetes_namespace_name=~"openshift-cluster.+"}'
  managementState: Managed
  replicationFactor: 1
  size: 1x.small
  storage:
    schemas:
    - effectiveDate: "2020-10-11"
      version: v13
    secret:
      name: logging-loki-s3
      type: s3
  storageClassName: gp3-csi
  tenants:
    mode: openshift-logging

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
    global:
      retention:
        days: 20
    tenants:


      application:
        retention:
          days: 1
          streams:
            - days: 4
              selector: '{kubernetes_namespace_name=~"test.+"}'


      infrastructure:
        retention:
          days: 5
          streams:
            - days: 1
              selector: '{kubernetes_namespace_name=~"openshift-cluster.+"}'
  managementState: Managed
  replicationFactor: 1
  size: 1x.small
  storage:
    schemas:
    - effectiveDate: "2020-10-11"
      version: v13
    secret:
      name: logging-loki-s3
      type: s3
  storageClassName: gp3-csi
  tenants:
    mode: openshift-logging

Copy to Clipboard

Toggle word wrap

1: テナントごとの保持ポリシーを設定します。有効なテナントタイプは、application、audit、および infrastructure です。
2: LogQL クエリーを指定してログストリームを保持ルールに一致させます。

LokiStack CR を適用します。
```
oc apply -f lokistack.yaml
```
```
$ oc apply -f lokistack.yaml
```
Copy to Clipboard Toggle word wrap

2.3.5. Loki Pod の配置
リンクのコピー

Pod の toleration またはノードセレクターを使用して、Loki Pod が実行するノードを制御し、他のワークロードがそれらのノードを使用しないようにできます。

LokiStack カスタムリソース (CR) を使用して toleration をログストア Pod に適用し、ノード仕様を使用して taint をノードに適用できます。ノードの taint は、taint を容認しないすべての Pod を拒否するようノードに指示する key:value ペアです。他の Pod にはない特定の key:value ペアを使用すると、ログストア Pod のみがそのノードで実行できるようになります。

ノードセレクターを使用する LokiStack の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    compactor: 
      nodeSelector:
        node-role.kubernetes.io/infra: "" 
    distributor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    gateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    indexGateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    ingester:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    querier:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    queryFrontend:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    ruler:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
# ...

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    compactor:


      nodeSelector:
        node-role.kubernetes.io/infra: ""


    distributor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    gateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    indexGateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    ingester:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    querier:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    queryFrontend:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    ruler:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
# ...

Copy to Clipboard

Toggle word wrap

1: ノードセレクターに適用されるコンポーネント Pod タイプを指定します。
2: 定義されたラベルが含まれるノードに移動する Pod を指定します。

ノードセレクターと toleration を使用する LokiStack CR の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    compactor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    distributor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    indexGateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    ingester:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    querier:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    queryFrontend:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    ruler:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    gateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
# ...

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    compactor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    distributor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    indexGateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    ingester:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    querier:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    queryFrontend:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    ruler:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    gateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
# ...

Copy to Clipboard

Toggle word wrap

LokiStack (CR) の nodeSelector フィールドと tolerations フィールドを設定するには、oc explain コマンドを使用して、特定のリソースの説明とフィールドを表示します。

oc explain lokistack.spec.template

$ oc explain lokistack.spec.template

Copy to Clipboard

Toggle word wrap

出力例

KIND:     LokiStack
VERSION:  loki.grafana.com/v1

RESOURCE: template <Object>

DESCRIPTION:
     Template defines the resource/limits/tolerations/nodeselectors per
     component

FIELDS:
   compactor	<Object>
     Compactor defines the compaction component spec.

   distributor	<Object>
     Distributor defines the distributor component spec.
...

KIND:     LokiStack
VERSION:  loki.grafana.com/v1

RESOURCE: template <Object>

DESCRIPTION:
     Template defines the resource/limits/tolerations/nodeselectors per
     component

FIELDS:
   compactor	<Object>
     Compactor defines the compaction component spec.

   distributor	<Object>
     Distributor defines the distributor component spec.
...

Copy to Clipboard

Toggle word wrap

詳細情報用に、特定のフィールドを追加できます。

oc explain lokistack.spec.template.compactor

$ oc explain lokistack.spec.template.compactor

Copy to Clipboard

Toggle word wrap

出力例

KIND:     LokiStack
VERSION:  loki.grafana.com/v1

RESOURCE: compactor <Object>

DESCRIPTION:
     Compactor defines the compaction component spec.

FIELDS:
   nodeSelector	<map[string]string>
     NodeSelector defines the labels required by a node to schedule the
     component onto it.
...

KIND:     LokiStack
VERSION:  loki.grafana.com/v1

RESOURCE: compactor <Object>

DESCRIPTION:
     Compactor defines the compaction component spec.

FIELDS:
   nodeSelector	<map[string]string>
     NodeSelector defines the labels required by a node to schedule the
     component onto it.
...

Copy to Clipboard

Toggle word wrap

2.4. 信頼性とパフォーマンスの向上
リンクのコピー

実稼働環境における Loki の信頼性と効率性を確保するための設定。

2.4.1. 有効期間の短いトークンを使用したクラウドベースのログストアへの認証の有効化
リンクのコピー

ワークロードアイデンティティーフェデレーションを使用すると、有効期間の短いトークンを使用してクラウドベースのログストアに対して認証できます。

手順

認証を有効にするには、次のいずれかのオプションを使用します。

OpenShift Container Platform Web コンソールを使用して Loki Operator をインストールすると、有効期間が短いトークンを使用するクラスターが自動的に検出されます。プロンプトが表示され、ロールを作成するように求められます。また、Loki Operator が CredentialsRequest オブジェクトを作成するのに必要なデータを提供するように求められます。このオブジェクトにより、シークレットが設定されます。

OpenShift CLI (oc) を使用して Loki Operator をインストールする場合は、次の例に示すように、ストレージプロバイダーに適したテンプレートを使用して Subscription オブジェクトを手動で作成する必要があります。この認証ストラテジーは、指定のストレージプロバイダーでのみサポートされます。

Azure サンプルサブスクリプションの例

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.0"
  installPlanApproval: Manual
  name: loki-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
      - name: CLIENTID
        value: <your_client_id>
      - name: TENANTID
        value: <your_tenant_id>
      - name: SUBSCRIPTIONID
        value: <your_subscription_id>
      - name: REGION
        value: <your_region>

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.0"
  installPlanApproval: Manual
  name: loki-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
      - name: CLIENTID
        value: <your_client_id>
      - name: TENANTID
        value: <your_tenant_id>
      - name: SUBSCRIPTIONID
        value: <your_subscription_id>
      - name: REGION
        value: <your_region>

Copy to Clipboard

Toggle word wrap

AWS サンプルサブスクリプションの例

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.0"
  installPlanApproval: Manual
  name: loki-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
    - name: ROLEARN
      value: <role_ARN>

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.0"
  installPlanApproval: Manual
  name: loki-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
    - name: ROLEARN
      value: <role_ARN>

Copy to Clipboard

Toggle word wrap

2.4.2. ノードの障害を許容するための Loki の設定
リンクのコピー

Loki Operator は、同じコンポーネントの Pod がクラスター内の異なる使用可能なノードにスケジュールされるように要求する Pod アンチアフィニティールールの設定をサポートしています。

アフィニティーとは、スケジュールするノードを制御する Pod の特性です。非アフィニティーとは、Pod がスケジュールされることを拒否する Pod の特性です。

OpenShift Container Platform では、Pod のアフィニティー と Pod の非アフィニティー によって、他の Pod のキー/値ラベルに基づいて、Pod のスケジュールに適したノードを制限できます。

Operator は、すべての Loki コンポーネント (compactor、distributor、gateway、indexGateway、ingester、querier、queryFrontend、および ruler コンポーネントを含む) に対してデフォルトの優先 podAntiAffinity ルールを設定します。

requiredDuringSchedulingIgnoredDuringExecution フィールドに必要な設定を指定して、Loki コンポーネントの希望の podAntiAffinity 設定を上書きできます。

インジェスターコンポーネントのユーザー設定の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    ingester:
      podAntiAffinity:
      # ...
        requiredDuringSchedulingIgnoredDuringExecution: 
        - labelSelector:
            matchLabels: 
              app.kubernetes.io/component: ingester
          topologyKey: kubernetes.io/hostname
# ...

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    ingester:
      podAntiAffinity:
      # ...
        requiredDuringSchedulingIgnoredDuringExecution:


        - labelSelector:
            matchLabels:


              app.kubernetes.io/component: ingester
          topologyKey: kubernetes.io/hostname
# ...

Copy to Clipboard

Toggle word wrap

1: 必要なルールを定義するスタンザです。
2: ルールを適用するために一致している必要のあるキー/値のペア (ラベル) です。

2.4.3. クラスターの再起動中の LokiStack 動作
リンクのコピー

OpenShift Container Platform クラスターが再起動されると、LokiStack の取り込みとクエリーパスは、ノードで使用可能な CPU およびメモリーリソース内で引き続き動作します。つまり、OpenShift Container Platform クラスターの更新中に LokiStack でダウンタイムは発生しません。この動作は、PodDisruptionBudget リソースを使用して実現されます。Loki Operator は、Loki に PodDisruptionBudget リソースをプロビジョニングするため、特定の条件下で通常の動作を保証するためにコンポーネントごとに必要最小限、使用可能な Pod 数が決定されます。

2.5. 高度なデプロイメントとスケーラビリティー
リンクのコピー

高可用性、スケーラビリティー、エラー処理のための特殊な設定。

2.5.1. ゾーン対応のデータレプリケーション
リンクのコピー

Loki Operator は、Pod トポロジーの分散制約を通じて、ゾーン対応のデータレプリケーションのサポートを提供します。この機能を有効にすると、信頼性が向上し、1 つのゾーンで障害が発生した場合のログ損失に対する保護が強化されます。デプロイメントサイズを 1x.extra.small、1x.small、または 1x.medium に設定すると、replication.factor フィールドは自動的に 2 に設定されます。

適切なレプリケーションを実現するには、少なくともレプリケーション係数で指定されているのと同じ数のアベイラビリティーゾーンが必要です。レプリケーション係数より多くのアベイラビリティーゾーンを設定することは可能ですが、ゾーンが少ないと書き込みエラーが発生する可能性があります。最適な運用を実現するには、各ゾーンで同じ数のインスタンスをホストする必要があります。

ゾーンレプリケーションが有効になっている LokiStack CR の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
 name: logging-loki
 namespace: openshift-logging
spec:
 replicationFactor: 2 
 replication:
   factor: 2 
   zones:
   -  maxSkew: 1 
      topologyKey: topology.kubernetes.io/zone

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
 name: logging-loki
 namespace: openshift-logging
spec:
 replicationFactor: 2


 replication:
   factor: 2


   zones:
   -  maxSkew: 1


      topologyKey: topology.kubernetes.io/zone

Copy to Clipboard

Toggle word wrap

1: 非推奨のフィールド。入力された値は replication.factor によって上書きされます。
2: この値は、セットアップ時にデプロイメントサイズが選択されると自動的に設定されます。
3: 任意の 2 つのトポロジードメイン間の Pod 数の最大差。デフォルトは 1 で、0 の値を指定することはできません。
4: ノードラベルに対応するトポロジーキーの形式でゾーンを定義します。

2.5.2. 障害が発生したゾーンからの Loki Pod の回復
リンクのコピー

OpenShift Container Platform では、特定のアベイラビリティーゾーンのリソースにアクセスできなくなると、ゾーン障害が発生します。アベイラビリティーゾーンは、冗長性とフォールトトレランスを強化することを目的とした、クラウドプロバイダーのデータセンター内の分離されたエリアです。OpenShift Container Platform クラスターがこの問題を処理するように設定されていない場合、ゾーン障害によりサービスまたはデータの損失が発生する可能性があります。

Loki Pod は StatefulSet の一部であり、StorageClass オブジェクトによってプロビジョニングされた永続ボリューム要求 (PVC) が付属しています。各 Loki Pod とその PVC は同じゾーンに存在します。クラスターでゾーン障害が発生すると、StatefulSet コントローラーが、障害が発生したゾーン内の影響を受けた Pod の回復を自動的に試みます。

警告

次の手順では、障害が発生したゾーン内の PVC とそこに含まれるすべてのデータを削除します。完全なデータ損失を回避するには、LokiStack CR のレプリケーション係数フィールドを常に 1 より大きい値に設定して、Loki が確実にレプリケートされるようにする必要があります。

前提条件

LokiStack CR のレプリケーション係数が 1 より大きいことを確認している。
コントロールプレーンによってゾーン障害が検出され、障害が発生したゾーン内のノードがクラウドプロバイダー統合によってマークされている。

StatefulSet コントローラーは、障害が発生したゾーン内の Pod を自動的に再スケジュールしようとします。関連する PVC も障害が発生したゾーンにあるため、別のゾーンへの自動再スケジュールは機能しません。新しいゾーンでステートフル Loki Pod とそのプロビジョニングされた PVC を正常に再作成できるようにするには、障害が発生したゾーンの PVC を手動で削除する必要があります。

手順

次のコマンドを実行して、Pending 中ステータスの Pod をリスト表示します。

oc get pods --field-selector status.phase==Pending -n openshift-logging

$ oc get pods --field-selector status.phase==Pending -n openshift-logging

Copy to Clipboard

Toggle word wrap

oc get pods の出力例

NAME                           READY   STATUS    RESTARTS   AGE 
logging-loki-index-gateway-1   0/1     Pending   0          17m
logging-loki-ingester-1        0/1     Pending   0          16m
logging-loki-ruler-1           0/1     Pending   0          16m

NAME                           READY   STATUS    RESTARTS   AGE


logging-loki-index-gateway-1   0/1     Pending   0          17m
logging-loki-ingester-1        0/1     Pending   0          16m
logging-loki-ruler-1           0/1     Pending   0          16m

Copy to Clipboard

Toggle word wrap

1: これらの Pod は、障害が発生したゾーンに対応する PVC があるため、Pending ステータスになっています。

次のコマンドを実行して、Pending ステータスの PVC をリストします。

oc get pvc -o=json -n openshift-logging | jq '.items[] | select(.status.phase == "Pending") | .metadata.name' -r

$ oc get pvc -o=json -n openshift-logging | jq '.items[] | select(.status.phase == "Pending") | .metadata.name' -r

Copy to Clipboard

Toggle word wrap

oc get pvc の出力例

storage-logging-loki-index-gateway-1
storage-logging-loki-ingester-1
wal-logging-loki-ingester-1
storage-logging-loki-ruler-1
wal-logging-loki-ruler-1

storage-logging-loki-index-gateway-1
storage-logging-loki-ingester-1
wal-logging-loki-ingester-1
storage-logging-loki-ruler-1
wal-logging-loki-ruler-1

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して Pod の PVC を削除します。
```
oc delete pvc <pvc_name> -n openshift-logging
```
```
$ oc delete pvc <pvc_name> -n openshift-logging
```
Copy to Clipboard Toggle word wrap
次のコマンドを実行して Pod を削除します。
```
oc delete pod <pod_name> -n openshift-logging
```
```
$ oc delete pod <pod_name> -n openshift-logging
```
Copy to Clipboard Toggle word wrap
これらのオブジェクトが正常に削除されると、使用可能なゾーンでオブジェクトが自動的に再スケジュールされます。

2.5.2.1. terminating 状態の PVC のトラブルシューティング
リンクのコピー

PVC メタデータファイナライザーが kubernetes.io/pv-protection に設定されている場合、PVC が削除されずに terminating 状態でハングする可能性があります。ファイナライザーを削除すると、PVC が正常に削除されるようになります。

以下のコマンドを実行して各 PVC のファイナライザーを削除し、削除を再試行します。

oc patch pvc <pvc_name> -p '{"metadata":{"finalizers":null}}' -n openshift-logging

$ oc patch pvc <pvc_name> -p '{"metadata":{"finalizers":null}}' -n openshift-logging

Copy to Clipboard

Toggle word wrap

2.5.3. Loki レート制限エラーのトラブルシューティング
リンクのコピー

Log Forwarder API がレート制限を超える大きなメッセージブロックを Loki に転送すると、Loki により、レート制限 (429) エラーが生成されます。

これらのエラーは、通常の動作中に発生する可能性があります。たとえば、すでにいくつかのログがあるクラスターにロギングを追加する場合、ロギングが既存のログエントリーをすべて取り込もうとするとレート制限エラーが発生する可能性があります。この場合、新しいログの追加速度が合計レート制限よりも低い場合、履歴データは最終的に取り込まれ、ユーザーの介入を必要とせずにレート制限エラーが解決されます。

レート制限エラーが引き続き発生する場合は、LokiStack カスタムリソース (CR) を変更することで問題を解決できます。

重要

LokiStack CR は、Grafana がホストする Loki では利用できません。このトピックは、Grafana がホストする Loki サーバーには適用されません。

条件

Log Forwarder API は、ログを Loki に転送するように設定されている。

システムは、次のような 2MB を超えるメッセージのブロックを Loki に送信する。以下に例を示します。

"values":[["1630410392689800468","{\"kind\":\"Event\",\"apiVersion\":\
.......
......
......
......
\"received_at\":\"2021-08-31T11:46:32.800278+00:00\",\"version\":\"1.7.4 1.6.0\"}},\"@timestamp\":\"2021-08-31T11:46:32.799692+00:00\",\"viaq_index_name\":\"audit-write\",\"viaq_msg_id\":\"MzFjYjJkZjItNjY0MC00YWU4LWIwMTEtNGNmM2E5ZmViMGU4\",\"log_type\":\"audit\"}"]]}]}

"values":[["1630410392689800468","{\"kind\":\"Event\",\"apiVersion\":\
.......
......
......
......
\"received_at\":\"2021-08-31T11:46:32.800278+00:00\",\"version\":\"1.7.4 1.6.0\"}},\"@timestamp\":\"2021-08-31T11:46:32.799692+00:00\",\"viaq_index_name\":\"audit-write\",\"viaq_msg_id\":\"MzFjYjJkZjItNjY0MC00YWU4LWIwMTEtNGNmM2E5ZmViMGU4\",\"log_type\":\"audit\"}"]]}]}

Copy to Clipboard

Toggle word wrap

oc logs -n openshift-logging -l component=collector と入力すると、クラスター内のコレクターログに、次のいずれかのエラーメッセージを含む行が表示されます。

429 Too Many Requests Ingestion rate limit exceeded

429 Too Many Requests Ingestion rate limit exceeded

Copy to Clipboard

Toggle word wrap

Vector エラーメッセージの例

2023-08-25T16:08:49.301780Z  WARN sink{component_kind="sink" component_id=default_loki_infra component_type=loki component_name=default_loki_infra}: vector::sinks::util::retries: Retrying after error. error=Server responded with an error: 429 Too Many Requests internal_log_rate_limit=true

2023-08-25T16:08:49.301780Z  WARN sink{component_kind="sink" component_id=default_loki_infra component_type=loki component_name=default_loki_infra}: vector::sinks::util::retries: Retrying after error. error=Server responded with an error: 429 Too Many Requests internal_log_rate_limit=true

Copy to Clipboard

Toggle word wrap

このエラーは受信側にも表示されます。たとえば、LokiStack 取り込み Pod で以下を行います。

Loki 取り込みエラーメッセージの例

level=warn ts=2023-08-30T14:57:34.155592243Z caller=grpc_logging.go:43 duration=1.434942ms method=/logproto.Pusher/Push err="rpc error: code = Code(429) desc = entry with timestamp 2023-08-30 14:57:32.012778399 +0000 UTC ignored, reason: 'Per stream rate limit exceeded (limit: 3MB/sec) while attempting to ingest for stream

level=warn ts=2023-08-30T14:57:34.155592243Z caller=grpc_logging.go:43 duration=1.434942ms method=/logproto.Pusher/Push err="rpc error: code = Code(429) desc = entry with timestamp 2023-08-30 14:57:32.012778399 +0000 UTC ignored, reason: 'Per stream rate limit exceeded (limit: 3MB/sec) while attempting to ingest for stream

Copy to Clipboard

Toggle word wrap

手順

LokiStack CR の ingestionBurstSize および ingestionRate フィールドを更新します。
```
apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
    global:
      ingestion:
        ingestionBurstSize: 16 
        ingestionRate: 8 
# ...
```
```
apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
    global:
      ingestion:
        ingestionBurstSize: 16 
```
1
```
        ingestionRate: 8 
```
2
```
# ...
```
Copy to Clipboard Toggle word wrap
1
ingestionBurstSize フィールドは、ディストリビューターレプリカごとに最大ローカルレート制限サンプルサイズを MB 単位で定義します。この値はハードリミットです。この値を、少なくとも 1 つのプッシュリクエストで想定される最大ログサイズに設定します。ingestionBurstSize 値より大きい単一リクエストは使用できません。
2
ingestionRate フィールドは、1 秒あたりに取り込まれるサンプルの最大量 (MB 単位) に対するソフト制限です。ログのレートが制限を超えているにもかかわらず、コレクターがログの送信を再試行すると、レート制限エラーが発生します。合計平均が制限よりも少ない場合に限り、システムは回復し、ユーザーの介入なしでエラーが解決されます。

第3章 Loki での OTLP データ取り込み
リンクのコピー

Logging では、OpenTelemetry Protocol (OTLP) を使用して、API エンドポイントを使用できます。OTLP は Loki 専用に設計されたものではない標準化された形式です。そのため、OpenTelemetry のデータ形式を Loki のデータモデルにマッピングするには、追加の Loki 設定が必要です。OTLP には、ストリームラベル や 構造化メタデータ などの概念がありません。代わりに、OTLP はログエントリーに関するメタデータを、次の 3 つのカテゴリーにグループ化された属性として提供します。

リソース
スコープ
ログ

必要に応じて、複数のエントリーのメタデータを同時に、または個別に設定できます。

3.1. OTLP データ取り込み用の LokiStack 設定
リンクのコピー

重要

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

OTLP 取り込み用に LokiStack カスタムリソース (CR) を設定するには、次の手順に従います。

前提条件

Loki セットアップが、OTLP ログの取り込みを有効にするためにスキーマバージョン 13 で導入された構造化メタデータをサポートしていることを確認します。

手順

スキーマバージョンを設定します。
- 新しい LokiStack CR を作成する場合は、ストレージスキーマ設定で version: v13 を設定します。
  注記
  既存の設定の場合は、version: v13 と現在より後の effectiveDate を持つ新しいスキーマエントリーを追加します。スキーマバージョンの更新の詳細は、Upgrading Schemas (Grafana ドキュメント) を参照してください。
ストレージスキーマを次のように設定します。
ストレージスキーマの設定例
```
# ...
spec:
  storage:
    schemas:
    - version: v13
      effectiveDate: 2024-10-25
```
```
# ...
spec:
  storage:
    schemas:
    - version: v13
      effectiveDate: 2024-10-25
```
Copy to Clipboard Toggle word wrap
effectiveDate を過ぎると v13 スキーマが有効になり、LokiStack は構造化メタデータを保存できるようになります。

3.2. 属性マッピング
リンクのコピー

Loki Operator を openshift-logging モードに設定すると、Loki Operator がデフォルトの属性マッピングのセットを自動的に適用します。このマッピングは、特定の OTLP 属性を、Loki のストリームラベルおよび構造化メタデータに対応付けるものです。

一般的なセットアップでは、このようなデフォルトのマッピングで十分です。ただし、次の場合には属性マッピングをカスタマイズする必要があることもあります。

カスタムコレクターを使用する場合: セットアップに追加の属性を生成するカスタムコレクターが含まれている場合は、これらの属性を Loki に保持するためにマッピングをカスタマイズすることを検討してください。
属性の詳細レベルを調整する場合: デフォルトの属性セットが必要以上に詳細な場合は、必須の属性のみに減らすことができます。そうすることで、過剰なデータ保存を回避し、ロギングプロセスを合理化できます。

重要

ストリームラベルと構造化メタデータのいずれにもマッピングされていない属性は、Loki に保存されません。

3.2.1. OpenShift のカスタム属性マッピング
リンクのコピー

Loki Operator を openshift-logging モードで使用する場合、属性マッピングは OpenShift のデフォルト値に従います。ただし、カスタムマッピングを設定すると、デフォルト値を調整できます。openshift-logging モードでは、必要に応じて、カスタム属性マッピングをすべてのテナントに対してグローバルに設定することも、個々のテナントに対して設定することもできます。カスタムマッピングを定義すると、そのカスタムマッピングが OpenShift のデフォルト値に追加されます。デフォルトのラベルが必要ない場合は、テナント設定で無効にできます。

注記

Loki Operator と Loki の主な違いは、継承の処理にあります。Loki はデフォルトで default_resource_attributes_as_index_labels のみをテナントにコピーします。Loki Operator は openshift-logging モードで各テナントにグローバル設定全体を適用します。

LokiStack 内では、属性マッピング設定は limits 設定を通じて管理されます。次の LokiStack 設定の例を参照してください。

# ...
spec:
  limits:
    global:
      otlp: {} 
    tenants:
      application:
        otlp: {}

# ...
spec:
  limits:
    global:
      otlp: {}


    tenants:
      application:
        otlp: {}

Copy to Clipboard

Toggle word wrap

1: グローバルの OTLP 属性設定を定義します。
2: openshift-logging モード内の application テナントの OTLP 属性設定。

注記

グローバルおよびテナントごとの OTLP 設定の両方で、属性をストリームラベルまたは構造化メタデータにマッピングできます。ログエントリーを Loki ストレージに保存するには、少なくとも 1 つのストリームラベルが必要です。設定がその要件を満たしていることを確認してください。

ストリームラベルはリソースレベルの属性からのみ導出され、LokiStack リソース構造はそれを反映します。

spec:
  limits:
    global:
      otlp:
        streamLabels:
          resourceAttributes:
          - name: "k8s.namespace.name"
          - name: "k8s.pod.name"
          - name: "k8s.container.name"

spec:
  limits:
    global:
      otlp:
        streamLabels:
          resourceAttributes:
          - name: "k8s.namespace.name"
          - name: "k8s.pod.name"
          - name: "k8s.container.name"

Copy to Clipboard

Toggle word wrap

対照的に、構造化メタデータはリソース、スコープ、またはログレベルの属性から生成できます。

# ...
spec:
  limits:
    global:
      otlp:
        streamLabels:
# ...
        structuredMetadata:
          resourceAttributes:
          - name: "process.command_line"
          - name: "k8s\\.pod\\.labels\\..+"
            regex: true
          scopeAttributes:
          - name: "service.name"
          logAttributes:
          - name: "http.route"

# ...
spec:
  limits:
    global:
      otlp:
        streamLabels:
# ...
        structuredMetadata:
          resourceAttributes:
          - name: "process.command_line"
          - name: "k8s\\.pod\\.labels\\..+"
            regex: true
          scopeAttributes:
          - name: "service.name"
          logAttributes:
          - name: "http.route"

Copy to Clipboard

Toggle word wrap

ヒント

Loki で類似の属性をマッピングする場合は、、属性名に regex: true を設定して正規表現を使用します。

重要

データ量が増加する可能性があるため、ストリームラベルに正規表現を使用することは避けてください。

3.2.2. OpenShift のデフォルトのカスタマイズ
リンクのコピー

openshift-logging モードでは、特定の属性が必須であり、OpenShift 機能でのロールのため、設定から削除できません。推奨のラベルが付いているその他の属性は、パフォーマンスに影響がある場合は無効化されている可能性があります。

カスタム属性なしで openshift-logging モードを使用すると、即座に OpenShift ツールとの互換性が確保されます。ストリームラベルまたは構造化メタデータとして追加の属性が必要な場合は、カスタム設定を使用します。カスタム設定はデフォルト設定とマージできます。

3.2.3. 推奨属性の削除
リンクのコピー

openshift-logging モードでデフォルト属性を減らすには、推奨属性を無効にします。

# ...
spec:
  tenants:
    mode: openshift-logging
    openshift:
      otlp:
        disableRecommendedAttributes: true

# ...
spec:
  tenants:
    mode: openshift-logging
    openshift:
      otlp:
        disableRecommendedAttributes: true

Copy to Clipboard

Toggle word wrap

1: 推奨属性を削除するには、disableRecommendedAttributes: true を設定します。これにより、デフォルトの属性が 必須属性 に制限されます。

注記

このオプションは、デフォルトの属性によってパフォーマンスやストレージの問題が発生する場合に役立ちます。この設定により、デフォルトのストリームラベルが削除されるため、クエリーのパフォーマンスに悪影響が及ぶ可能性があります。クエリーに不可欠な属性を保持するためには、このオプションをカスタム属性設定と組み合わせる必要があります。

第4章 OpenTelemetry データモデル
リンクのコピー

このドキュメントでは、Logging による Red Hat OpenShift Logging の OpenTelemetry サポートのプロトコルおよびセマンティック規則の概要を説明します。

重要

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

4.1. 転送および取り込みプロトコル
リンクのコピー

Red Hat OpenShift Logging は、OTLP 仕様を使用してログを収集し、OpenTelemetry エンドポイントに転送します。OTLP はテレメトリーデータをエンコード、転送、配信します。ログストリームを取り込むための OTLP エンドポイントを提供する Loki ストレージをデプロイすることもできます。このドキュメントでは、さまざまな OpenShift クラスターソースから収集されたログのセマンティック規約を定義します。

4.2. セマンティック規約
リンクのコピー

このソリューションのログコレクターは、次のログストリームを収集します。

コンテナーログ
クラスターノードジャーナルログ
クラスターノード監査ログ
Kubernetes および OpenShift API サーバーログ
OpenShift Virtual Network (OVN) ログ

これらのストリームは、OpenTelemetry セマンティック属性によって定義されたセマンティック規約に従って転送できます。OpenTelemetry のセマンティック規約では、リソースを属性によって識別される、テレメトリーを生成するエンティティーのイミュータブルな表現と定義しています。たとえばコンテナー内で実行されているプロセスには、container_name、cluster_id、pod_name、namespace などの属性が含まれ、場合によっては deployment または app_name も含まれます。これらの属性はリソースオブジェクトの下にグループ化されており、繰り返しを減らし、テレメトリーデータとしてのログ送信を最適化するのに役立ちます。

ログには、リソース属性に加え、計装ライブラリーに固有のスコープ属性と、各ログエントリーに固有のログ属性も含まれる場合があります。これらの属性は、各ログエントリーに関するより詳細な情報を提供し、ストレージ内のログをクエリーする際のフィルタリング機能を強化します。

次のセクションでは、一般的に転送される属性を定義しています。

4.2.1. ログエントリー構造
リンクのコピー

すべてのログストリームには、次のログデータフィールドが含まれます。

適用可能ソース 列は、各フィールドに適用するログソースを示しています。

all: このフィールドは、すべてのログに存在します。
container: このフィールドは、アプリケーションとインフラストラクチャーの両方の Kubernetes コンテナーログに存在します。
audit: このフィールドは、Kubernetes ログ、OpenShift API ログ、OVN ログに存在します。
auditd: このフィールドは、ノード監査ログに存在します。
journal: このフィールドは、ノードジャーナルログに存在します。

Expand

名前	適用可能ソース	コメント
`body`	all
`observedTimeUnixNano`	all
`timeUnixNano`	all
`severityText`	container、journal
`attributes`	all	(オプション) ストリーム固有の属性を転送する場合に存在します

4.2.2. 属性
リンクのコピー

次の表に示すとおり、ログエントリーにはソースに基づくリソース属性、スコープ属性、ログ属性のセットが含まれます。

場所列は属性のタイプを示しています。

resource: リソース属性を示します
scope: スコープ属性を示します
log: ログ属性を示します

ストレージ 列は、属性がデフォルトの openshift-logging モードを使用して LokiStack に保存されているか、および保存場所を示しています。

stream label:
- 特定のラベルに基づく効率的なフィルタリングとクエリーを可能にします。
- Loki Operator が設定でこの属性を強制する場合は、required としてラベル付けできます。
structured metadata:
- キーと値のペアの詳細なフィルタリングと保存を可能にします。
- JSON 解析を使用することなく、合理化されたクエリーに直接ラベルを使用できるようになります。

OTLP を使用すると、ユーザーは JSON 解析を使用するのではなく、ラベルで直接クエリーをフィルタリングできるため、クエリーの速度と効率が向上します。

Expand

名前	場所	適用可能ソース	ストレージ (LokiStack)	コメント
`log_source`	resource	all	required stream label	(非推奨) 互換性属性。`openshift.log.source` と同じ情報が含まれます。
`log_type`	resource	all	required stream label	(非推奨) 互換性属性。`openshift.log.type` と同じ情報が含まれます。
`kubernetes.container_name`	resource	container	stream label	(非推奨) 互換性属性。`k8s.container.name` と同じ情報が含まれます。
`kubernetes.host`	resource	all	stream label	(非推奨) 互換性属性。`k8s.node.name` と同じ情報が含まれます。
`kubernetes.namespace_name`	resource	container	required stream label	(非推奨) 互換性属性。`k8s.namespace.name` と同じ情報が含まれます。
`kubernetes.pod_name`	resource	container	stream label	(非推奨) 互換性属性。`k8s.pod.name` と同じ情報が含まれます。
`openshift.cluster_id`	resource	all		(非推奨) 互換性属性。`openshift.cluster.uid` と同じ情報が含まれます。
`level`	log	container、journal		(非推奨) 互換性属性。`severityText` と同じ情報が含まれます。
`openshift.cluster.uid`	resource	all	required stream label
`openshift.log.source`	resource	all	required stream label
`openshift.log.type`	resource	all	required stream label
`openshift.labels.*`	resource	all	structured metadata
`k8s.node.name`	resource	all	stream label
`k8s.namespace.name`	resource	container	required stream label
`k8s.container.name`	resource	container	stream label
`k8s.pod.labels.*`	resource	container	structured metadata
`k8s.pod.name`	resource	container	stream label
`k8s.pod.uid`	resource	container	structured metadata
`k8s.cronjob.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`k8s.daemonset.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`k8s.deployment.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`k8s.job.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`k8s.replicaset.name`	resource	container	structured metadata	Pod 作成者に基づき条件付きで転送されます
`k8s.statefulset.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`log.iostream`	log	container	structured metadata
`k8s.audit.event.level`	log	audit	structured metadata
`k8s.audit.event.stage`	log	audit	structured metadata
`k8s.audit.event.user_agent`	log	audit	structured metadata
`k8s.audit.event.request.uri`	log	audit	structured metadata
`k8s.audit.event.response.code`	log	audit	structured metadata
`k8s.audit.event.annotation.*`	log	audit	structured metadata
`k8s.audit.event.object_ref.resource`	log	audit	structured metadata
`k8s.audit.event.object_ref.name`	log	audit	structured metadata
`k8s.audit.event.object_ref.namespace`	log	audit	structured metadata
`k8s.audit.event.object_ref.api_group`	log	audit	structured metadata
`k8s.audit.event.object_ref.api_version`	log	audit	structured metadata
`k8s.user.username`	log	audit	structured metadata
`k8s.user.groups`	log	audit	structured metadata
`process.executable.name`	resource	journal	structured metadata
`process.executable.path`	resource	journal	structured metadata
`process.command_line`	resource	journal	structured metadata
`process.pid`	resource	journal	structured metadata
`service.name`	resource	journal	stream label
`systemd.t.*`	log	journal	structured metadata
`systemd.u.*`	log	journal	structured metadata

注記

互換性属性 としてマークされた属性は、ViaQ データモデルとの最小限の下位互換性をサポートします。これらは非推奨の属性であり、UI 機能の継続を保証するための互換性レイヤーとして機能します。これらの属性は、Logging UI が今後のリリースにおける OpenTelemetry 対応機能を完全にサポートするまで引き続きサポートされます。

Loki は、ストレージへの保存時に属性名を変更します。名前は小文字になり、セット内のすべての文字 (.、/、-) はアンダースコア (_) に置き換えられます。たとえば、k8s.namespace.name は k8s_namespace_name になります。

法律上の通知
リンクのコピー

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

ロギングの設定

ログ転送と LokiStack の設定

第1章 ログ転送の設定リンクのコピーリンクがクリップボードにコピーされました!

1.1. ログ収集のセットアップリンクのコピーリンクがクリップボードにコピーされました!

1.1.1. レガシーサービスアカウントリンクのコピーリンクがクリップボードにコピーされました!

1.1.2. サービスアカウントの作成リンクのコピーリンクがクリップボードにコピーされました!

1.1.2.1. サービスアカウントのクラスターロールバインディングリンクのコピーリンクがクリップボードにコピーされました!

1.1.2.2. アプリケーションログの書き込みリンクのコピーリンクがクリップボードにコピーされました!

1.1.2.3. 監査ログの書き込みリンクのコピーリンクがクリップボードにコピーされました!

1.1.2.4. インフラストラクチャーログの書き込みリンクのコピーリンクがクリップボードにコピーされました!

1.1.2.5. ClusterLogForwarder 編集者ロールリンクのコピーリンクがクリップボードにコピーされました!

1.2. コレクターのログレベルの変更リンクのコピーリンクがクリップボードにコピーされました!

1.3. Operator の管理リンクのコピーリンクがクリップボードにコピーされました!

1.4. ClusterLogForwarder の構造リンクのコピーリンクがクリップボードにコピーされました!

1.4.1. Inputsリンクのコピーリンクがクリップボードにコピーされました!

1.4.2. 出力リンクのコピーリンクがクリップボードにコピーされました!

1.4.3. OTLP 出力の設定リンクのコピーリンクがクリップボードにコピーされました!

1.4.4. Pipelinesリンクのコピーリンクがクリップボードにコピーされました!

1.4.5. Filtersリンクのコピーリンクがクリップボードにコピーされました!

1.4.6. 複数行の例外検出の有効化リンクのコピーリンクがクリップボードにコピーされました!

1.4.6.1. 詳細リンクのコピーリンクがクリップボードにコピーされました!

1.4.7. 不要なログレコードを削除するコンテンツフィルターの設定リンクのコピーリンクがクリップボードにコピーされました!

1.4.8. API 監査フィルターの概要リンクのコピーリンクがクリップボードにコピーされました!

1.4.9. ラベル式または一致するラベルキーと値を含む入力時でのアプリケーションログのフィルタリングリンクのコピーリンクがクリップボードにコピーされました!

1.4.10. ログレコードを削除するコンテンツフィルターの設定リンクのコピーリンクがクリップボードにコピーされました!

1.5. ソースによる監査およびインフラストラクチャーログ入力のフィルタリングリンクのコピーリンクがクリップボードにコピーされました!

1.6. namespace またはコンテナー名を含めるか除外して入力時にアプリケーションログをフィルタリングする手順リンクのコピーリンクがクリップボードにコピーされました!

第2章 LokiStack ストレージの設定リンクのコピーリンクがクリップボードにコピーされました!

2.1. Loki デプロイメントのサイズリンクのコピーリンクがクリップボードにコピーされました!

2.2. 前提条件リンクのコピーリンクがクリップボードにコピーされました!

2.3. コアのセットアップと設定リンクのコピーリンクがクリップボードにコピーされました!

2.3.1. LokiStack ルールの RBAC 権限の認可リンクのコピーリンクがクリップボードにコピーされました!

2.3.1.1. 例リンクのコピーリンクがクリップボードにコピーされました!

2.3.2. Loki を使用したログベースのアラートルールの作成リンクのコピーリンクがクリップボードにコピーされました!

2.3.3. メンバーリストの作成の失敗を許容する Loki の設定リンクのコピーリンクがクリップボードにコピーされました!

2.3.4. Loki でストリームベースの保持の有効化リンクのコピーリンクがクリップボードにコピーされました!

2.3.5. Loki Pod の配置リンクのコピーリンクがクリップボードにコピーされました!

2.4. 信頼性とパフォーマンスの向上リンクのコピーリンクがクリップボードにコピーされました!

2.4.1. 有効期間の短いトークンを使用したクラウドベースのログストアへの認証の有効化リンクのコピーリンクがクリップボードにコピーされました!

2.4.2. ノードの障害を許容するための Loki の設定リンクのコピーリンクがクリップボードにコピーされました!

2.4.3. クラスターの再起動中の LokiStack 動作リンクのコピーリンクがクリップボードにコピーされました!

2.5. 高度なデプロイメントとスケーラビリティーリンクのコピーリンクがクリップボードにコピーされました!

2.5.1. ゾーン対応のデータレプリケーションリンクのコピーリンクがクリップボードにコピーされました!

2.5.2. 障害が発生したゾーンからの Loki Pod の回復リンクのコピーリンクがクリップボードにコピーされました!

2.5.2.1. terminating 状態の PVC のトラブルシューティングリンクのコピーリンクがクリップボードにコピーされました!

2.5.3. Loki レート制限エラーのトラブルシューティングリンクのコピーリンクがクリップボードにコピーされました!

第3章 Loki での OTLP データ取り込みリンクのコピーリンクがクリップボードにコピーされました!

3.1. OTLP データ取り込み用の LokiStack 設定リンクのコピーリンクがクリップボードにコピーされました!

3.2. 属性マッピングリンクのコピーリンクがクリップボードにコピーされました!

3.2.1. OpenShift のカスタム属性マッピングリンクのコピーリンクがクリップボードにコピーされました!

3.2.2. OpenShift のデフォルトのカスタマイズリンクのコピーリンクがクリップボードにコピーされました!

3.2.3. 推奨属性の削除リンクのコピーリンクがクリップボードにコピーされました!

第4章 OpenTelemetry データモデルリンクのコピーリンクがクリップボードにコピーされました!

4.1. 転送および取り込みプロトコルリンクのコピーリンクがクリップボードにコピーされました!

4.2. セマンティック規約リンクのコピーリンクがクリップボードにコピーされました!

4.2.1. ログエントリー構造リンクのコピーリンクがクリップボードにコピーされました!

4.2.2. 属性リンクのコピーリンクがクリップボードにコピーされました!

法律上の通知リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章ログ転送の設定
リンクのコピー

1.1. ログ収集のセットアップ
リンクのコピー

1.1.1. レガシーサービスアカウント
リンクのコピー

1.1.2. サービスアカウントの作成
リンクのコピー

1.1.2.1. サービスアカウントのクラスターロールバインディング
リンクのコピー

1.1.2.2. アプリケーションログの書き込み
リンクのコピー

1.1.2.3. 監査ログの書き込み
リンクのコピー

1.1.2.4. インフラストラクチャーログの書き込み
リンクのコピー

1.1.2.5. ClusterLogForwarder 編集者ロール
リンクのコピー

1.2. コレクターのログレベルの変更
リンクのコピー

1.3. Operator の管理
リンクのコピー

1.4. ClusterLogForwarder の構造
リンクのコピー

1.4.1. Inputs
リンクのコピー

1.4.2. 出力
リンクのコピー

1.4.3. OTLP 出力の設定
リンクのコピー

1.4.4. Pipelines
リンクのコピー

1.4.5. Filters
リンクのコピー

1.4.6. 複数行の例外検出の有効化
リンクのコピー

1.4.6.1. 詳細
リンクのコピー

1.4.7. 不要なログレコードを削除するコンテンツフィルターの設定
リンクのコピー

1.4.8. API 監査フィルターの概要
リンクのコピー

1.4.9. ラベル式または一致するラベルキーと値を含む入力時でのアプリケーションログのフィルタリング
リンクのコピー

1.4.10. ログレコードを削除するコンテンツフィルターの設定
リンクのコピー

1.5. ソースによる監査およびインフラストラクチャーログ入力のフィルタリング
リンクのコピー

1.6. namespace またはコンテナー名を含めるか除外して入力時にアプリケーションログをフィルタリングする手順
リンクのコピー

第2章 LokiStack ストレージの設定
リンクのコピー

2.1. Loki デプロイメントのサイズ
リンクのコピー

2.2. 前提条件
リンクのコピー

2.3. コアのセットアップと設定
リンクのコピー

2.3.1. LokiStack ルールの RBAC 権限の認可
リンクのコピー

2.3.1.1. 例
リンクのコピー

2.3.2. Loki を使用したログベースのアラートルールの作成
リンクのコピー

2.3.3. メンバーリストの作成の失敗を許容する Loki の設定
リンクのコピー

2.3.4. Loki でストリームベースの保持の有効化
リンクのコピー

2.3.5. Loki Pod の配置
リンクのコピー

2.4. 信頼性とパフォーマンスの向上
リンクのコピー

2.4.1. 有効期間の短いトークンを使用したクラウドベースのログストアへの認証の有効化
リンクのコピー

2.4.2. ノードの障害を許容するための Loki の設定
リンクのコピー

2.4.3. クラスターの再起動中の LokiStack 動作
リンクのコピー

2.5. 高度なデプロイメントとスケーラビリティー
リンクのコピー

2.5.1. ゾーン対応のデータレプリケーション
リンクのコピー

2.5.2. 障害が発生したゾーンからの Loki Pod の回復
リンクのコピー

2.5.2.1. terminating 状態の PVC のトラブルシューティング
リンクのコピー

2.5.3. Loki レート制限エラーのトラブルシューティング
リンクのコピー

第3章 Loki での OTLP データ取り込み
リンクのコピー

3.1. OTLP データ取り込み用の LokiStack 設定
リンクのコピー

3.2. 属性マッピング
リンクのコピー

3.2.1. OpenShift のカスタム属性マッピング
リンクのコピー

3.2.2. OpenShift のデフォルトのカスタマイズ
リンクのコピー

3.2.3. 推奨属性の削除
リンクのコピー

第4章 OpenTelemetry データモデル
リンクのコピー

4.1. 転送および取り込みプロトコル
リンクのコピー

4.2. セマンティック規約
リンクのコピー

4.2.1. ログエントリー構造
リンクのコピー

4.2.2. 属性
リンクのコピー

法律上の通知
リンクのコピー