ロギングの設定

Red Hat OpenShift Logging 6.2

ログ転送と LokiStack を設定します。

Red Hat OpenShift Documentation Team

概要

このドキュメントでは、ログ転送や LokiStack などの OpenShift ロギング機能の設定に関する概要を説明します。

第1章ログ転送の設定
リンクのコピー

ClusterLogForwarder (CLF) を使用すると、ユーザーはさまざまな宛先へのログの転送を設定できます。さまざまなソースからログメッセージを選択し、それらを変換またはフィルタリングできるパイプラインを介して送信して、1 つ以上の出力に転送する柔軟な方法を提供します。

ClusterLogForwarder の主な機能

入力を使用してログメッセージを選択する
出力を使用してログを外部の宛先に転送する
フィルターを使用してログメッセージをフィルタリング、変換、および破棄する
入力、フィルター、出力を接続するログ転送パイプラインを定義する

このリリースの Cluster Logging では、管理者が ClusterLogForwarder に関連付けられたサービスアカウントにログ収集権限を明示的に付与する必要があります。これは、ClusterLogging およびオプションで ClusterLogForwarder.logging.openshift.io リソースで構成されるレガシーロギングシナリオでは、以前のリリースでは必要ありませんでした。

Red Hat OpenShift Logging Operator は、collect-audit-logs、collect-application-logs、collect-infrastructure-logs クラスターロールを提供します。これにより、コレクターは監査ログ、アプリケーションログ、およびインフラストラクチャーログをそれぞれ収集できます。

必要なクラスターロールをサービスアカウントにバインドして、ログ収集をセットアップします。

1.1.1. レガシーサービスアカウント
リンクのコピー

既存のレガシーサービスアカウント logcollector を使用するには、次の ClusterRoleBinding を作成します。

oc adm policy add-cluster-role-to-user collect-application-logs system:serviceaccount:openshift-logging:logcollector

$ oc adm policy add-cluster-role-to-user collect-application-logs system:serviceaccount:openshift-logging:logcollector

Copy to Clipboard

Toggle word wrap

oc adm policy add-cluster-role-to-user collect-infrastructure-logs system:serviceaccount:openshift-logging:logcollector

$ oc adm policy add-cluster-role-to-user collect-infrastructure-logs system:serviceaccount:openshift-logging:logcollector

Copy to Clipboard

Toggle word wrap

さらに、監査ログを収集する場合は、次の ClusterRoleBinding を作成します。

oc adm policy add-cluster-role-to-user collect-audit-logs system:serviceaccount:openshift-logging:logcollector

$ oc adm policy add-cluster-role-to-user collect-audit-logs system:serviceaccount:openshift-logging:logcollector

Copy to Clipboard

Toggle word wrap

1.1.2. サービスアカウントの作成
リンクのコピー

前提条件

Red Hat OpenShift Logging Operator が openshift-logging namespace にインストールされている。
管理者権限がある。

手順

コレクターのサービスアカウントを作成します。認証にトークンを必要とするストレージにログを書き込む場合は、サービスアカウントにトークンを含める必要があります。

適切なクラスターロールをサービスアカウントにバインドします。

バインドコマンドの例

oc adm policy add-cluster-role-to-user <cluster_role_name> system:serviceaccount:<namespace_name>:<service_account_name>

$ oc adm policy add-cluster-role-to-user <cluster_role_name> system:serviceaccount:<namespace_name>:<service_account_name>

Copy to Clipboard

Toggle word wrap

1.1.2.1. サービスアカウントのクラスターロールバインディング
リンクのコピー

role_binding.yaml ファイルは、ClusterLogging Operator の ClusterRole を特定の ServiceAccount にバインドし、クラスター全体で Kubernetes リソースを管理できるようにします。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: manager-rolebinding
roleRef:                                           
  apiGroup: rbac.authorization.k8s.io              
  kind: ClusterRole                                
  name: cluster-logging-operator                   
subjects:                                          
  - kind: ServiceAccount                           
    name: cluster-logging-operator                 
    namespace: openshift-logging

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: manager-rolebinding
roleRef:


  apiGroup: rbac.authorization.k8s.io


  kind: ClusterRole


  name: cluster-logging-operator


subjects:


  - kind: ServiceAccount


    name: cluster-logging-operator


    namespace: openshift-logging

Copy to Clipboard

Toggle word wrap

1: roleRef: バインディングが適用される ClusterRole を参照します。
2: apiGroup: RBAC API グループを示し、ClusterRole が Kubernetes の RBAC システムの一部であることを指定します。
3: kind: 参照されるロールがクラスター全体に適用される ClusterRole であることを指定します。
4: name: ServiceAccount にバインドされる ClusterRole の名前 (ここでは cluster-logging-operator)。
5: subjects: ClusterRole から権限が付与されるエンティティー (ユーザーまたはサービスアカウント) を定義します。
6: kind: サブジェクトが ServiceAccount であることを指定します。
7: Name: 権限が付与される ServiceAccount の名前。
8: namespace: ServiceAccount が配置されている namespace を示します。

1.1.2.2. アプリケーションログの書き込み
リンクのコピー

write-application-logs-clusterrole.yaml ファイルは、Loki ロギングアプリケーションにアプリケーションログを書き込む権限を付与する ClusterRole を定義します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-application-logs
rules:                                              
  - apiGroups:                                      
      - loki.grafana.com                            
    resources:                                      
      - application                                 
    resourceNames:                                  
      - logs                                        
    verbs:                                          
      - create

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-application-logs
rules:


  - apiGroups:


      - loki.grafana.com


    resources:


      - application


    resourceNames:


      - logs


    verbs:


      - create

Copy to Clipboard

Toggle word wrap

1: rules: この ClusterRole によって付与される権限を指定します。
2: apiGroups: Loki ロギングシステムに関連する API グループ loki.grafana.com を参照します。
3: loki.grafana.com: Loki 関連のリソースを管理するための API グループ。
4: resources: この ClusterRole がやり取りする権限を付与するリソースタイプ。
5: application: Loki ロギングシステム内のアプリケーションリソースを参照します。
6: resourceNames: このロールが管理できるリソースの名前を指定します。
7: logs: 作成できるログリソースを参照します。
8: verbs: リソースで許可されるアクション。
9: create: Loki システムに新しいログを作成する権限を付与します。

1.1.2.3. 監査ログの書き込み
リンクのコピー

write-audit-logs-clusterrole.yaml ファイルは、Loki ロギングシステムに監査ログを作成する権限を付与する ClusterRole を定義します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-audit-logs
rules:                                              
  - apiGroups:                                      
      - loki.grafana.com                            
    resources:                                      
      - audit                                       
    resourceNames:                                  
      - logs                                        
    verbs:                                          
      - create

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-audit-logs
rules:


  - apiGroups:


      - loki.grafana.com


    resources:


      - audit


    resourceNames:


      - logs


    verbs:


      - create

Copy to Clipboard

Toggle word wrap

1: rules: この ClusterRole によって付与される権限を定義します。
2: apiGroups: API グループ loki.grafana.com を指定します。
3: loki.grafana.com: Loki ロギングリソースを管理する API グループ。
4: resources: このロールが管理するリソースタイプ (この場合は audit) を指します。
5: audit: ロールが Loki 内の監査ログを管理することを指定します。
6: resourceNames: ロールがアクセスできる特定のリソースを定義します。
7: logs: このロールで管理できるログを指します。
8: verbs: リソースで許可されるアクション。
9: create: 新しい監査ログを作成する権限を付与します。

1.1.2.4. インフラストラクチャーログの書き込み
リンクのコピー

write-infrastructure-logs-clusterrole.yaml ファイルは、Loki ロギングシステムにインフラストラクチャーログを作成する権限を付与する ClusterRole を定義します。

YAML 例

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-infrastructure-logs
rules:                                              
  - apiGroups:                                      
      - loki.grafana.com                            
    resources:                                      
      - infrastructure                              
    resourceNames:                                  
      - logs                                        
    verbs:                                          
      - create

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-logging-write-infrastructure-logs
rules:


  - apiGroups:


      - loki.grafana.com


    resources:


      - infrastructure


    resourceNames:


      - logs


    verbs:


      - create

Copy to Clipboard

Toggle word wrap

1: ルール: この ClusterRole が付与する権限を指定します。
2: apiGroups: Loki 関連リソースの API グループを指定します。
3: loki.grafana.com: Loki ロギングシステムを管理する API グループ。
4: resources: このロールが対話できるリソースタイプを定義します。
5: infrastructure: このロールが管理するインフラストラクチャー関連のリソースを指します。
6: resourceNames: このロールが管理できるリソースの名前を指定します。
7: logs: インフラストラクチャーに関連するログリソースを指します。
8: verbs: このロールによって許可されるアクションです。
9: create: Loki システムにインフラストラクチャーログを作成する権限を付与します。

1.1.2.5. ClusterLogForwarder 編集者ロール
リンクのコピー

clusterlogforwarder-editor-role.yaml ファイルは、ユーザーが OpenShift で ClusterLogForwarders を管理できるようにする ClusterRole を定義します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: clusterlogforwarder-editor-role
rules:                                              
  - apiGroups:                                      
      - observability.openshift.io                  
    resources:                                      
      - clusterlogforwarders                        
    verbs:                                          
      - create                                      
      - delete                                      
      - get                                         
      - list                                        
      - patch                                       
      - update                                      
      - watch

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: clusterlogforwarder-editor-role
rules:


  - apiGroups:


      - observability.openshift.io


    resources:


      - clusterlogforwarders


    verbs:


      - create


      - delete


      - get


      - list


      - patch


      - update


      - watch

Copy to Clipboard

Toggle word wrap

1: ルール: この ClusterRole が付与する権限を指定します。
2: apiGroups: OpenShift 固有の API グループを指します。
3: obervability.openshift.io: ロギングなどの可観測性リソースを管理するための API グループ。
4: resources: このロールが管理できるリソースを指定します。
5: clusterlogforwarders: OpenShift のログ転送リソースを指します。
6: verbs: ClusterLogForwarders で許可されるアクションを指定します。
7: create: 新しい ClusterLogForwarders を作成する権限を付与します。
8: delete: 既存の ClusterLogForwarders を削除する権限を付与します。
9: get: 特定の ClusterLogForwarders に関する情報を取得する権限を付与します。
10: list: すべての ClusterLogForwarders のリスト表示を許可します。
11: patch: ClusterLogForwarders を部分的に変更する権限を付与します。
12: update: 既存の ClusterLogForwarders を更新する権限を付与します。
13: watch: ClusterLogForwarders への変更を監視する権限を付与します。

1.2. コレクターのログレベルの変更
リンクのコピー

コレクターでログレベルを変更するには、observability.openshift.io/log-level アノテーションを trace、debug、info、warn、error、および off に設定します。

ログレベルアノテーションの例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: collector
  annotations:
    observability.openshift.io/log-level: debug
# ...

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: collector
  annotations:
    observability.openshift.io/log-level: debug
# ...

Copy to Clipboard

Toggle word wrap

1.3. Operator の管理
リンクのコピー

ClusterLogForwarder リソースには、Operator がリソースをアクティブに管理するか、管理対象外のままにするかを制御する managementState フィールドがあります。

Managed: (デフォルト) Operator は、CLF 仕様の目的の状態に一致するようにロギングリソースを駆動します。
管理対象外: Operator は、ロギングコンポーネントに関連するアクションを一切実行しません。

これにより、管理者は managementState を Unmanaged に設定して、ログ転送を一時的に停止できます。

1.4. ClusterLogForwarder の構造
リンクのコピー

CLF には、次の主要コンポーネントを含む spec セクションがあります。

Inputs: 転送するログメッセージを選択します。組み込みの入力タイプである application、infrastructure、および audit は、クラスターのさまざまな部分からログを転送します。カスタム入力を定義することもできます。
出力: ログを転送する宛先を定義します。各出力には、一意の名前とタイプ固有の設定があります。
Pipelines: ログが入力からフィルターを経由して出力されるまでのパスを定義します。パイプラインには一意の名前があり、入力名、出力名、フィルター名のリストで構成されます。
Filters: パイプライン内のログメッセージを変換または破棄します。ユーザーは、特定のログフィールドに一致するフィルターを定義し、メッセージを破棄または変更できます。フィルターはパイプラインで指定された順序で適用されます。

1.4.1. Inputs
リンクのコピー

入力は spec.inputs の下の配列で設定されます。組み込みの入力タイプは 3 つあります。

application

インフラストラクチャー namespace 内のログを除く、すべてのアプリケーションコンテナーからログを選択します。

infrastructure

次の namespace で実行されているノードおよびインフラストラクチャーコンポーネントからログを選択します。

default
kube
openshift
kube- または openshift- 接頭辞を含む

audit

OpenShift API サーバー監査ログ、Kubernetes API サーバー監査ログ、ovn 監査ログ、および auditd からのノード監査ログからログを選択します。

ユーザーは、特定の namespace からログを選択するか、または Pod ラベルを使用してログを選択する application のカスタム入力を定義できます。

1.4.2. 出力
リンクのコピー

出力は spec.outputs の下の配列で設定されます。各出力には一意の名前とタイプが必要です。サポートされているタイプは次のとおりです。

azureMonitor: ログを Azure Monitor に転送します。
cloudwatch: ログを AWS CloudWatch に転送します。
elasticsearch: ログを外部の Elasticsearch インスタンスに転送します。
googleCloudLogging: ログを Google Cloud Logging に転送します。
http: ログを汎用 HTTP エンドポイントに転送します。
kafka: ログを Kafka ブローカーに転送します。
loki: ログを Loki ロギングバックエンドに転送します。
lokistack: ログを、OpenShift Container Platform 認証インテグレーションによる Loki と Web プロキシーのロギングがサポートされている組み合わせに転送します。LokiStack のプロキシーは、OpenShift Container Platform 認証を使用してマルチテナンシーを適用します。
otlp: OpenTelemetry プロトコルを使用してログを転送します。
splunk: ログを Splunk に転送します。
syslog: ログを外部の syslog サーバーに転送します。

各出力タイプには独自の設定フィールドがあります。

1.4.3. OTLP 出力の設定
リンクのコピー

クラスター管理者は、OpenTelemetry Protocol (OTLP) 出力を使用してログを収集し、OTLP レシーバーに転送できます。OTLP 出力は、OpenTelemetry Observability フレームワークで定義された仕様を使用して、HTTP を介して JSON エンコーディングでデータを送信します。

重要

OpenTelemetry Protocol (OTLP) 出力ログフォワーダーは、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

手順

OTLP を使用した転送を有効にするには、次のアノテーションを追加して ClusterLogForwarder カスタムリソース (CR) を作成または編集します。

ClusterLogForwarder CR の例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  annotations:
    observability.openshift.io/tech-preview-otlp-output: "enabled" 
  name: clf-otlp
spec:
  serviceAccount:
    name: <service_account_name>
  outputs:
  - name: otlp
    type: otlp
    otlp:
      tuning:
        compression: gzip
        deliveryMode: AtLeastOnce
        maxRetryDuration: 20
        maxWrite: 10M
        minRetryDuration: 5
      url: <otlp_url> 
  pipelines:
  - inputRefs:
    - application
    - infrastructure
    - audit
    name: otlp-logs
    outputRefs:
    - otlp

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  annotations:
    observability.openshift.io/tech-preview-otlp-output: "enabled"


  name: clf-otlp
spec:
  serviceAccount:
    name: <service_account_name>
  outputs:
  - name: otlp
    type: otlp
    otlp:
      tuning:
        compression: gzip
        deliveryMode: AtLeastOnce
        maxRetryDuration: 20
        maxWrite: 10M
        minRetryDuration: 5
      url: <otlp_url>


  pipelines:
  - inputRefs:
    - application
    - infrastructure
    - audit
    name: otlp-logs
    outputRefs:
    - otlp

Copy to Clipboard

Toggle word wrap

1: このアノテーションを使用して OpenTelemetry Protocol (OTLP) 出力を有効にします。これはテクノロジープレビュー機能です。
2: これは絶対 URL でなければならず、ログの送信先である OTLP エンドポイントのプレースホルダーです。

注記

OTLP 出力では OpenTelemetry データモデルが使用されますが、これは他の出力タイプで使用される ViaQ データモデルとは異なります。これは、OpenTelemetry Observability フレームワークで定義された OpenTelemetry Semantic Conventions を使用することで OTLP に準拠しています。

1.4.4. Pipelines
リンクのコピー

パイプラインは spec.pipelines の下の配列で設定されます。各パイプラインには一意の名前があり、次の要素で構成される必要があります。

inputRefs: このパイプラインにログを転送する入力の名前。
outputRefs: ログを送信する出力の名前。
filterRefs: (オプション) 適用するフィルターの名前。

filterRefs は順番に適用されるため、順序が重要です。以前のフィルターは、後のフィルターで処理されないメッセージを破棄する可能性があります。

1.4.5. Filters
リンクのコピー

フィルターは spec.filters の下の配列で設定されます。構造化フィールドの値に基づいて受信ログメッセージを照合し、変更または削除できます。

管理者は次のタイプのフィルターを設定できます。

1.4.6. 複数行の例外検出の有効化
リンクのコピー

コンテナーログの複数行のエラー検出を有効にします。

警告

この機能を有効にすると、パフォーマンスに影響が出る可能性があり、追加のコンピューティングリソースや代替のロギングソリューションが必要になる場合があります。

ログパーサーは頻繁に、同じ例外の個別の行を別々の例外として誤って識別します。その結果、余分なログエントリーが発生し、トレースされた情報が不完全または不正確な状態で表示されます。

Java 例外の例

java.lang.NullPointerException: Cannot invoke "String.toString()" because "<param1>" is null
    at testjava.Main.handle(Main.java:47)
    at testjava.Main.printMe(Main.java:19)
    at testjava.Main.main(Main.java:10)

java.lang.NullPointerException: Cannot invoke "String.toString()" because "<param1>" is null
    at testjava.Main.handle(Main.java:47)
    at testjava.Main.printMe(Main.java:19)
    at testjava.Main.main(Main.java:10)

Copy to Clipboard

Toggle word wrap

ロギングを有効にして複数行の例外を検出し、それらを 1 つのログエントリーに再アセンブルできるようにする場合は、ClusterLogForwarder カスタムリソース (CR) に .spec.filters の下の detectMultilineErrors フィールドが含まれていることを確認します。

ClusterLogForwarder CR の例

apiVersion: "observability.openshift.io/v1"
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: <log_forwarder_namespace>
spec:
  serviceAccount:
    name: <service_account_name>
  filters:
  - name: <name>
    type: detectMultilineException
  pipelines:
    - inputRefs:
        - <input-name>
      name: <pipeline-name>
      filterRefs:
        - <filter-name>
      outputRefs:
        - <output-name>

apiVersion: "observability.openshift.io/v1"
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: <log_forwarder_namespace>
spec:
  serviceAccount:
    name: <service_account_name>
  filters:
  - name: <name>
    type: detectMultilineException
  pipelines:
    - inputRefs:
        - <input-name>
      name: <pipeline-name>
      filterRefs:
        - <filter-name>
      outputRefs:
        - <output-name>

Copy to Clipboard

Toggle word wrap

1.4.6.1. 詳細
リンクのコピー

ログメッセージが例外スタックトレースを形成する連続したシーケンスとして表示される場合、それらは単一の統合ログレコードに結合されます。最初のログメッセージの内容は、シーケンス内のすべてのメッセージフィールドの連結コンテンツに置き換えられます。

コレクターは次の言語をサポートしています。

Java
JS
Ruby
Python
Golang
PHP
Dart

1.4.7. HTTP 経由でのログ転送
リンクのコピー

HTTP 経由でログを転送できるようにするには、ClusterLogForwarder カスタムリソース (CR) で出力タイプとして http を指定します。

手順

以下のテンプレートを使用して、ClusterLogForwarder CR を作成または編集します。

ClusterLogForwarder CR の例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: <log_forwarder_namespace>
spec:
  managementState: Managed
  outputs:
  - name: <output_name>
    type: http
    http:
      headers:  
          h1: v1
          h2: v2
      authentication:
        username:
          key: username
          secretName: <http_auth_secret>
        password:
          key: password
          secretName: <http_auth_secret>
      timeout: 300
      proxyURL: <proxy_url> 
      url: <url> 
    tls:
      insecureSkipVerify: 
      ca:
        key: <ca_certificate>
        secretName: <secret_name> 
  pipelines:
    - inputRefs:
        - application
      name: pipe1
      outputRefs:
        - <output_name>  
  serviceAccount:
    name: <service_account_name>

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: <log_forwarder_namespace>
spec:
  managementState: Managed
  outputs:
  - name: <output_name>
    type: http
    http:
      headers:


          h1: v1
          h2: v2
      authentication:
        username:
          key: username
          secretName: <http_auth_secret>
        password:
          key: password
          secretName: <http_auth_secret>
      timeout: 300
      proxyURL: <proxy_url>


      url: <url>


    tls:
      insecureSkipVerify:


      ca:
        key: <ca_certificate>
        secretName: <secret_name>


  pipelines:
    - inputRefs:
        - application
      name: pipe1
      outputRefs:
        - <output_name>


  serviceAccount:
    name: <service_account_name>

Copy to Clipboard

Toggle word wrap

1: ログレコードと送信する追加のヘッダー。
2: オプション: この出力から http または https 経由でログを転送するために使用する HTTP/HTTPS プロキシーの URL。この設定は、クラスターまたはノードのデフォルトのプロキシー設定をオーバーライドします。
3: ログの宛先アドレス。
4: 値は true または false です。
5: 宛先認証情報のシークレット名。
6: この値は、出力名と同じである必要があります。
7: サービスアカウントの名前。

1.4.8. syslog プロトコルを使用したログの転送
リンクのコピー

syslog RFC3164 または RFC5424 プロトコルを使用して、デフォルトの Elasticsearch ログストアの代わり、またはそれに加えてプロトコルを受け入れるように設定された外部ログアグリゲーターに、ログのコピーを送信できます。syslog サーバーなど、外部ログアグリゲーターを OpenShift Container Platform からログを受信するように設定する必要があります。

syslog プロトコルを使用してログ転送を設定するには、syslog サーバーへの 1 つ以上の出力と、それらの出力を使用するパイプラインを含む ClusterLogForwarder カスタムリソース (CR) を作成する必要があります。syslog 出力では、UDP、TCP、または TLS 接続を使用できます。

前提条件

指定されたプロトコルまたは形式を使用してロギングデータを受信するように設定されたロギングサーバーが必要です。

手順

ClusterLogForwarder CR オブジェクトを定義する YAML ファイルを作成または編集します。
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: collector
spec:
  managementState: Managed
  outputs:
  - name: rsyslog-east 
    syslog:
      appName: <app_name> 
      enrichment: KubernetesMinimal
      facility: <facility_value> 
      msgId: <message_ID> 
      payloadKey: <record_field> 
      procId: <process_ID> 
      rfc: <RFC3164_or_RFC5424> 
      severity: informational 
      tuning:
        deliveryMode: <AtLeastOnce_or_AtMostOnce> 
      url: <url> 
    tls: 
      ca:
        key: ca-bundle.crt
        secretName: syslog-secret
    type: syslog
  pipelines:
  - inputRefs: 
    - application
    name: syslog-east 
    outputRefs:
    - rsyslog-east
  serviceAccount: 
    name: logcollector
```
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: collector
spec:
  managementState: Managed
  outputs:
  - name: rsyslog-east 
```
1
```
    syslog:
      appName: <app_name> 
```
2
```
      enrichment: KubernetesMinimal
      facility: <facility_value> 
```
3
```
      msgId: <message_ID> 
```
4
```
      payloadKey: <record_field> 
```
5
```
      procId: <process_ID> 
```
6
```
      rfc: <RFC3164_or_RFC5424> 
```
7
```
      severity: informational 
```
8
```
      tuning:
        deliveryMode: <AtLeastOnce_or_AtMostOnce> 
```
9
```
      url: <url> 
```
10
```
    tls: 
```
11
```
      ca:
        key: ca-bundle.crt
        secretName: syslog-secret
    type: syslog
  pipelines:
  - inputRefs: 
```
12
```
    - application
    name: syslog-east 
```
13
```
    outputRefs:
    - rsyslog-east
  serviceAccount: 
```
14
```
    name: logcollector
```
Copy to Clipboard Toggle word wrap
1
出力の名前を指定します。
2
オプション: syslog メッセージヘッダーの APP-NAME 部分の値を指定します。値は Syslog プロトコルに準拠している必要があります。値は、静的値と動的値を組み合わせたものにすることができます。フィールドパスとそれに続く || で構成され、その後に別のフィールドパスまたは静的値が続きます。最終的な値の最大長は 48 文字に切り捨てられます。動的値は中括弧で囲む必要があり、値の後に || で区切られた静的なフォールバック値を付ける必要があります。静的値には、英数字とダッシュ、アンダースコア、ドット、スラッシュのみを含めることができます。値の例は <value1>-{.<value2>||"none"} です。
3
オプション: syslog-msg ヘッダーの Facility 部分の値を指定します。
4
オプション: syslog-msg ヘッダーの MSGID 部分の値を指定します。値は、静的値と動的値を組み合わせたものにすることができます。フィールドパスとそれに続く || で構成され、その後に別のフィールドパスまたは静的値が続きます。最終的な値の最大長は 32 文字に切り捨てられます。動的値は中括弧で囲む必要があり、値の後に || で区切られた静的なフォールバック値を付ける必要があります。静的値には、英数字とダッシュ、アンダースコア、ドット、スラッシュのみを含めることができます。値の例は <value1>-{.<value2>||"none"} です。
5
オプション: ペイロードとして使用するレコードフィールドを指定します。payloadKey 値は、1 つの中括弧 {} で囲まれた 1 つのフィールドパスである必要があります。たとえば、{.<value>} です。
6
オプション: syslog メッセージヘッダーの PROCID 部分の値を指定します。値は Syslog プロトコルに準拠している必要があります。値は、静的値と動的値を組み合わせたものにすることができます。フィールドパスとそれに続く || で構成され、その後に別のフィールドパスまたは静的値が続きます。最終的な値の最大長は 48 文字に切り捨てられます。動的値は中括弧で囲む必要があり、値の後に || で区切られた静的なフォールバック値を付ける必要があります。静的値には、英数字とダッシュ、アンダースコア、ドット、スラッシュのみを含めることができます。値の例は <value1>-{.<value2>||"none"} です。
7
オプション: 生成されたメッセージが準拠する RFC を設定します。値は RFC3164 または RFC5424 にすることができます。
8
オプション: メッセージの重大度レベルを設定します。詳細は、Syslog プロトコルを参照してください。
9
オプション: ログ転送の配信モードを設定します。値は AtLeastOnce または AtMostOnce のどちらかです。
10
スキームを使用して絶対 URL を指定します。有効なスキームは、tcp、tls、および udp です。たとえば、tls://syslog-receiver.example.com:6514 です。
11
Transport Layer Security (TLS) クライアント接続のオプションを制御するための設定を指定します。
12
パイプラインを使用して転送するログタイプ (application、infrastructure または audit) を指定します。
13
パイプラインの名前を指定します。
14
サービスアカウントの名前。
CR オブジェクトを作成します。
```
oc create -f <filename>.yaml
```
```
$ oc create -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.4.8.1. メッセージ出力へのログソース情報の追加
リンクのコピー

ClusterLogForwarder カスタムリソース (CR) に enrichment フィールドを追加することで、レコードの message フィールドに namespace_name、pod_name、および container_name 要素を追加できます。

# ...
  spec:
    outputs:
    - name: syslogout
      syslog:
        enrichment: KubernetesMinimal
        facility: user
        payloadKey: message
        rfc: RFC3164
        severity: debug
      type: syslog
      url: tls://syslog-receiver.example.com:6514
    pipelines:
    - inputRefs:
      - application
      name: test-app
      outputRefs:
      - syslogout
# ...

# ...
  spec:
    outputs:
    - name: syslogout
      syslog:
        enrichment: KubernetesMinimal
        facility: user
        payloadKey: message
        rfc: RFC3164
        severity: debug
      type: syslog
      url: tls://syslog-receiver.example.com:6514
    pipelines:
    - inputRefs:
      - application
      name: test-app
      outputRefs:
      - syslogout
# ...

Copy to Clipboard

Toggle word wrap

注記

この設定は、RFC3164 と RFC5424 の両方と互換性があります。

enrichment: None を使用した syslog メッセージ出力の例

 2025-03-03T11:48:01+00:00  example-worker-x  syslogsyslogserverd846bb9b: {...}

 2025-03-03T11:48:01+00:00  example-worker-x  syslogsyslogserverd846bb9b: {...}

Copy to Clipboard

Toggle word wrap

enrichment: KubernetesMinimal を使用した syslog メッセージ出力の例

2025-03-03T11:48:01+00:00  example-worker-x  syslogsyslogserverd846bb9b: namespace_name=cakephp-project container_name=mysql pod_name=mysql-1-wr96h,message: {...}

2025-03-03T11:48:01+00:00  example-worker-x  syslogsyslogserverd846bb9b: namespace_name=cakephp-project container_name=mysql pod_name=mysql-1-wr96h,message: {...}

Copy to Clipboard

Toggle word wrap

1.5. STS 対応クラスターから Amazon CloudWatch へログを転送する
リンクのコピー

Amazon CloudWatch は、管理者が Amazon Web Services (AWS) 上のリソースとアプリケーションを観測および監視するのに役立つサービスです。AWS Security Token Service (STS) を使用する AWS の Identity and Access Management (IAM) Roles for Service Accounts (IRSA) を活用することで、OpenShift Logging から CloudWatch にログを安全に転送できます。

CloudWatch による認証は次のように機能します。

ログコレクターは、AWS の OpenID Connect (OIDC) プロバイダーにサービスアカウントトークンを提示して、Security Token Service (STS) から一時的な AWS 認証情報を要求します。
AWS がトークンを検証します。その後、信頼ポリシーに応じて、AWS はログコレクターが使用するためのアクセスキー ID、シークレットアクセスキー、セッショントークンなどの短期間の一時的な認証情報を発行します。

Red Hat OpenShift Service on AWS などの STS 対応クラスターでは、AWS ロールは必要な信頼ポリシーで事前設定されています。これにより、サービスアカウントはロールを引き受けることができます。したがって、IAM ロールを使用する STS で AWS のシークレットを作成できます。その後、シークレットを使用してログを CloudWatch 出力に転送する ClusterLogForwarder カスタムリソース (CR) を作成または更新できます。ロールが事前に設定されている場合は、次の手順に従って、シークレットと ClusterLogForwarder CR を作成します。

既存の AWS ロールを使用して CloudWatch のシークレットを作成する
STS 対応クラスターから Amazon CloudWatch へログを転送する

信頼ポリシーが事前設定された AWS IAM ロールがない場合は、まず必要な信頼ポリシーを持つロールを作成する必要があります。シークレット、ClusterLogForwarder CR、およびロールを作成するには、次の手順を実行します。

1.5.1. AWS IAM ロールの作成
リンクのコピー

AWS リソースへセキュアにアクセスできるよう、サービスアカウントが引き受けることができる Amazon Web Services (AWS) IAM ロールを作成します。

次の手順では、AWS CLI を使用して AWS IAM ロールを作成する方法を示します。代わりに、Cloud Credential Operator (CCO) ユーティリティー ccoctl を使用することもできます。ccoctl ユーティリティーを使用すると、ClusterLogForwarder カスタムリソース (CR) に必要ない多くのフィールドが IAM ロールポリシーに作成されます。これらの追加フィールドは CR によって無視されます。ただし、ccoctl ユーティリティーは、IAM ロールを設定するための便利な方法を提供します。詳細は、コンポーネントの短期認証情報を使用した手動モードを参照してください。

前提条件

Security Token Service (STS) が有効化され、AWS 用に設定されている Red Hat OpenShift Logging クラスターにアクセスできる。
AWS アカウントへの管理者アクセス権がある。
AWS CLI がインストールされている。

手順

CloudWatch にログを書き込む権限を付与する IAM ポリシーを作成します。

次の内容を含むファイル (例: cw-iam-role-policy.json) を作成します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogGroup",
                "logs:PutRetentionPolicy",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:*"
        }
    ]
}

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogGroup",
                "logs:PutRetentionPolicy",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:*"
        }
    ]
}

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、以前のポリシー定義に基づいて IAM ポリシーを作成します。

aws iam create-policy \
    --policy-name cluster-logging-allow \
    --policy-document file://cw-iam-role-policy.json

aws iam create-policy \
    --policy-name cluster-logging-allow \
    --policy-document file://cw-iam-role-policy.json

Copy to Clipboard

Toggle word wrap

作成されたポリシーの Arn 値をメモします。

ロギングサービスアカウントが IAM ロールを引き受けることを許可する信頼ポリシーを作成します。

次の内容を含むファイル (例: cw-trust-policy.json) を作成します。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Principal": {
            "Federated": "arn:aws:iam::123456789012:oidc-provider/<OPENSHIFT_OIDC_PROVIDER_URL>" 
        },
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {
            "StringEquals": {
                "<OPENSHIFT_OIDC_PROVIDER_URL>:sub": "system:serviceaccount:openshift-logging:logcollector" 
            }
        }
    }
]
}

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Principal": {
            "Federated": "arn:aws:iam::123456789012:oidc-provider/<OPENSHIFT_OIDC_PROVIDER_URL>"


        },
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {
            "StringEquals": {
                "<OPENSHIFT_OIDC_PROVIDER_URL>:sub": "system:serviceaccount:openshift-logging:logcollector"

Copy to Clipboard

Toggle word wrap

1: <OPENSHIFT_OIDC_PROVIDER_URL> は、Red Hat OpenShift Logging OIDC URL に置き換えます。
2: namespace とサービスアカウントは、ログフォワーダーが使用する namespace とサービスアカウントと一致する必要があります。

次のコマンドを実行し、以前に定義した信頼ポリシーに基づいて IAM ロールを作成します。
```
aws iam create-role --role-name openshift-logger --assume-role-policy-document file://cw-trust-policy.json
```
```
$ aws iam create-role --role-name openshift-logger --assume-role-policy-document file://cw-trust-policy.json
```
Copy to Clipboard Toggle word wrap
作成されたロールの Arn 値をメモします。

次のコマンドを実行して、ポリシーをロールにアタッチします。

aws iam put-role-policy \
      --role-name openshift-logger --policy-name cluster-logging-allow \
      --policy-document file://cw-role-policy.json

$ aws iam put-role-policy \
      --role-name openshift-logger --policy-name cluster-logging-allow \
      --policy-document file://cw-role-policy.json

Copy to Clipboard

Toggle word wrap

検証

次のコマンドを実行して、ロールと権限ポリシーを確認します。

aws iam get-role --role-name openshift-logger

$ aws iam get-role --role-name openshift-logger

Copy to Clipboard

Toggle word wrap

出力例

ROLE	arn:aws:iam::123456789012:role/openshift-logger
ASSUMEROLEPOLICYDOCUMENT	2012-10-17
STATEMENT	sts:AssumeRoleWithWebIdentity	Allow
STRINGEQUALS	system:serviceaccount:openshift-logging:openshift-logger
PRINCIPAL	arn:aws:iam::123456789012:oidc-provider/<OPENSHIFT_OIDC_PROVIDER_URL>

ROLE	arn:aws:iam::123456789012:role/openshift-logger
ASSUMEROLEPOLICYDOCUMENT	2012-10-17
STATEMENT	sts:AssumeRoleWithWebIdentity	Allow
STRINGEQUALS	system:serviceaccount:openshift-logging:openshift-logger
PRINCIPAL	arn:aws:iam::123456789012:oidc-provider/<OPENSHIFT_OIDC_PROVIDER_URL>

Copy to Clipboard

Toggle word wrap

1.5.2. 既存の AWS ロールを使用した AWS CloudWatch のシークレット作成
リンクのコピー

oc create secret --from-literal コマンドを使用して、設定された AWS IAM ロールから Amazon Web Services (AWS) Security Token Service (STS) のシークレットを作成します。

前提条件

AWS IAM ロールを作成している。
Red Hat OpenShift Logging への管理者アクセス権がある。

手順

CLI で次のように入力して、AWS のシークレットを生成します。

oc create secret generic sts-secret -n openshift-logging --from-literal=role_arn=arn:aws:iam::123456789012:role/openshift-logger

$ oc create secret generic sts-secret -n openshift-logging --from-literal=role_arn=arn:aws:iam::123456789012:role/openshift-logger

Copy to Clipboard

Toggle word wrap

シークレットの例

apiVersion: v1
kind: Secret
metadata:
  namespace: openshift-logging
  name: sts-secret
stringData:
  role_arn: arn:aws:iam::123456789012:role/openshift-logger

apiVersion: v1
kind: Secret
metadata:
  namespace: openshift-logging
  name: sts-secret
stringData:
  role_arn: arn:aws:iam::123456789012:role/openshift-logger

Copy to Clipboard

Toggle word wrap

1.5.3. STS 対応クラスターから Amazon CloudWatch へログを転送する
リンクのコピー

Amazon Web Services (AWS) Security Token Service (STS) が有効になっているクラスターにデプロイされた Logging for Red Hat OpenShift から、Amazon CloudWatch にログを転送できます。Amazon CloudWatch は、管理者が AWS 上のリソースとアプリケーションを観測および監視するのに役立つサービスです。

前提条件

Red Hat OpenShift Logging Operator がインストールされている。
認証情報シークレットを設定している。
Red Hat OpenShift Logging への管理者アクセス権がある。

手順

ClusterLogForwarder カスタムリソース (CR) を作成または更新します。

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: openshift-logging
spec:
  serviceAccount:
    name: <service_account_name> 
  outputs:
   - name: cw-output 
     type: cloudwatch 
     cloudwatch:
       groupName: 'cw-projected{.log_type||"missing"}' 
       region: us-east-2 
       authentication:
         type: iamRole 
         iamRole:
           roleARN: 
             key: role_arn
             secretName: sts-secret
           token: 
             from: serviceAccount
  pipelines:
    - name: to-cloudwatch
      inputRefs: 
        - infrastructure
        - audit
        - application
      outputRefs: 
        - cw-output

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: <log_forwarder_name>
  namespace: openshift-logging
spec:
  serviceAccount:
    name: <service_account_name>


  outputs:
   - name: cw-output


     type: cloudwatch


     cloudwatch:
       groupName: 'cw-projected{.log_type||"missing"}'


       region: us-east-2


       authentication:
         type: iamRole


         iamRole:
           roleARN:


             key: role_arn
             secretName: sts-secret
           token:


             from: serviceAccount
  pipelines:
    - name: to-cloudwatch
      inputRefs:


        - infrastructure
        - audit
        - application
      outputRefs:


        - cw-output

Copy to Clipboard

Toggle word wrap

1: サービスアカウントを指定します。
2: 出力の名前を指定します。
3: cloudwatch タイプを指定します。
4: ログストリームのグループ名を指定します。
5: AWS リージョンを指定します。
6: STS の認証タイプとして iamRole を指定します。
7: role_arn リソースが保存されているシークレットの名前とキーを指定します。
8: 認証に使用するサービスアカウントトークンを指定します。投影されたサービスアカウントトークンを使用するには、from: serviceAccount を使用します。
9: パイプラインを使用して転送するログタイプ (application、infrastructure または audit) を指定します。
10: このパイプラインでログを転送する時に使用する出力の名前を指定します。

1.5.4. 不要なログレコードを削除するコンテンツフィルターの設定
リンクのコピー

すべてのクラスターログを収集すると大量のデータが生成され、その移動と保存にコストがかかる可能性があります。ボリュームを削減するには、転送前に不要なログレコードを除外するように drop フィルターを設定できます。ログコレクターは、フィルターに対してログストリームを評価し、指定された条件に一致するレコードを破棄します。

drop フィルターは、test フィールドを使用して、ログレコードを評価するための 1 つ以上の条件を定義します。フィルターは、レコードを破棄するかどうかを確認するために次のルールを適用します。

指定された条件がすべて true と評価された場合、テストは合格となります。
テストに合格すると、フィルターはログレコードを破棄します。
drop フィルター設定で複数のテストを定義すると、いずれかのテストに合格するとフィルターによってログレコードが破棄されます。
条件の評価中にエラーが発生した場合 (参照先のフィールドが欠落している場合など)、その条件は false と評価されます。

前提条件

Red Hat OpenShift Logging Operator がインストールされている。
管理者権限がある。
ClusterLogForwarder カスタムリソース (CR) を作成した。
OpenShift CLI (oc) がインストールされている。

手順

既存の ClusterLogForwarder 設定を抽出し、ローカルファイルとして保存します。
```
oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
```
```
$ oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
```
Copy to Clipboard Toggle word wrap
詳細は、以下のようになります。
- <name> は、設定する ClusterLogForwarder インスタンスの名前です。
- <namespace> は、ClusterLogForwarder インスタンスを作成した namespace です (例: openshift-logging)。
- <filename> は、設定を保存するローカルファイルの名前です。
ClusterLogForwarder CR の filters spec に、不要なログレコードを破棄する設定を追加します。
ClusterLogForwarder CR の例
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  # ...
  filters:
  - name: drop-filter
    type: drop 
    drop: 
    - test: 
      - field: .kubernetes.labels."app.version-1.2/beta" 
        matches: .+ 
      - field: .kubernetes.pod_name
        notMatches: "my-pod" 
  pipelines:
  - name: my-pipeline 
    filterRefs:
    - drop-filter
  # ...
```
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  # ...
  filters:
  - name: drop-filter
    type: drop 
```
1
```
    drop: 
```
2
```
    - test: 
```
3
```
      - field: .kubernetes.labels."app.version-1.2/beta" 
```
4
```
        matches: .+ 
```
5
```
      - field: .kubernetes.pod_name
        notMatches: "my-pod" 
```
6
```
  pipelines:
  - name: my-pipeline 
```
7
```
    filterRefs:
    - drop-filter
  # ...
```
Copy to Clipboard Toggle word wrap
1
フィルターのタイプを指定します。drop フィルターは、フィルター設定に一致するログレコードを破棄します。
2
drop フィルターの設定オプションを指定します。
3
フィルターがログレコードを破棄するかどうかを評価するテストの条件を指定します。
4
ログレコード内のフィールドへのドット区切りのパスを指定します。
各パスセグメントには、英数字とアンダースコア (a-z、A-Z、0-9、_) を含めることができます (例: .kubernetes.namespace_name)。
セグメントに異なる文字が含まれている場合は、セグメントを引用符で囲む必要があります (例: .kubernetes.labels."app.version-1.2/beta")。
1 つの test 設定にいくつかのフィールドパスを含めることができますが、テストに合格して drop フィルターを適用するには、すべてのフィールドパスが true と評価される必要があります。
5
正規表現を指定します。ログレコードがこの正規表現と一致する場合は、破棄されます。
6
正規表現を指定します。ログレコードがこの正規表現に一致しない場合、破棄されます。
7
drop フィルターを使用するパイプラインを指定します。
注記
単一の field パスに対して matches または notMatches 条件のいずれかを設定できますが、両方を設定することはできません。
優先度の高いログレコードのみを保持する設定例
```
# ...
filters:
- name: important
  type: drop
  drop:
  - test:
    - field: .message
      notMatches: "(?i)critical|error"
    - field: .level
      matches: "info|warning"
# ...
```
```
# ...
filters:
- name: important
  type: drop
  drop:
  - test:
    - field: .message
      notMatches: "(?i)critical|error"
    - field: .level
      matches: "info|warning"
# ...
```
Copy to Clipboard Toggle word wrap
いくつかのテストを含む設定例
```
# ...
filters:
- name: important
  type: drop
  drop:
  - test: 
    - field: .kubernetes.namespace_name
      matches: "openshift.*"
  - test: 
    - field: .log_type
      matches: "application"
    - field: .kubernetes.pod_name
      notMatches: "my-pod"
# ...
```
```
# ...
filters:
- name: important
  type: drop
  drop:
  - test: 
```
1
```
    - field: .kubernetes.namespace_name
      matches: "openshift.*"
  - test: 
```
2
```
    - field: .log_type
      matches: "application"
    - field: .kubernetes.pod_name
      notMatches: "my-pod"
# ...
```
Copy to Clipboard Toggle word wrap
1
フィルターは、openshift で始まる namespace を含むログを破棄します。
2
フィルターは、Pod 名に my-pod が含まれないアプリケーションログを破棄します。
次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.5.5. API 監査フィルターの概要
リンクのコピー

OpenShift API サーバーは、すべての API 呼び出しに対して監査イベントを生成します。これらのイベントには、リクエスト、応答、リクエスト元のアイデンティティーに関する詳細が含まれます。これにより、大量のデータが発生する可能性があります。

API 監査フィルターは、ルールを使用して重要でないイベントを除外し、イベントサイズを縮小することで、監査証跡の管理に役立ちます。ルールは順番にチェックされ、最初の一致でチェックが停止します。イベント内のデータの量は、level フィールドの値によって異なります。

None: イベントは破棄されます。
Metadata: イベントには監査メタデータが含まれ、要求本文と応答本文は除外されます。
Request: イベントには監査メタデータと要求本文が含まれ、応答本文は含まれません。
RequestResponse: イベントには、メタデータ、要求本文、応答本文など、すべてのデータが含まれます。レスポンス本文が非常に大きくなる可能性があります。たとえば、oc get pods -A はクラスター内のすべての Pod の YAML 記述を含むレスポンス本文を生成します。

注記

API 監査フィルター機能は、ロギングデプロイメントで Vector コレクターがセットアップされている場合にのみ使用できます。

ClusterLogForwarder カスタムリソース (CR) は、標準の Kubernetes 監査ポリシーと同じ形式を使用します。ClusterLogForwarder CR は、次の追加機能を提供します。

ワイルドカード

ユーザー、グループ、namespace、およびリソースの名前には、先頭または末尾に * アスタリスク文字を付けることができます。たとえば、openshift-\* namespace は、openshift-apiserver または openshift-authentication namespace と一致します。\*/status リソースは、Pod/status または Deployment/status リソースと一致します。

デフォルトのルール

ポリシーのルールに一致しないイベントは、以下のようにフィルターされます。

get、list、watch などの読み取り専用システムイベントは削除されます。
サービスアカウントと同じ namespace 内で発生するサービスアカウント書き込みイベントは破棄されます。
他のすべてのイベントは、設定されたレート制限に従って転送されます。

これらのデフォルトを無効にするには、level フィールドのみが含まれるルールでルールリストを終了するか、空のルールを追加します。

応答コードが省略される

省略する整数ステータスコードのリスト。イベントが作成されない HTTP ステータスコードをリストする OmitResponseCodes フィールドを使用して、応答で HTTP ステータスコードに基づいてイベントを破棄できます。デフォルト値は [404, 409, 422, 429] です。値が空のリスト [] の場合、ステータスコードは省略されません。

ClusterLogForwarder CR の監査ポリシーは、OpenShift Container Platform の監査ポリシーに加えて動作します。ClusterLogForwarder CR 監査フィルターは、ログコレクターが転送する内容を変更し、動詞、ユーザー、グループ、namespace、またはリソースでフィルタリングする機能を提供します。複数のフィルターを作成して、同じ監査ストリームの異なるサマリーを異なる場所に送信できます。たとえば、詳細なストリームをローカルクラスターログストアに送信し、詳細度の低いストリームをリモートサイトに送信できます。

重要

監査ログを収集するには、collect-audit-logs クラスターロールが必要です。
提供されている例は、監査ポリシーで可能なルールの範囲を示すことを目的としており、推奨される設定ではありません。

監査ポリシーの例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: example-service-account
  pipelines:
    - name: my-pipeline
      inputRefs:
        - audit 
      filterRefs:
        - my-policy 
      outputRefs:
        - my-output
  filters:
    - name: my-policy
      type: kubeAPIAudit
      kubeAPIAudit:
        # Don't generate audit events for all requests in RequestReceived stage.
        omitStages:
          - "RequestReceived"

        rules:
          # Log pod changes at RequestResponse level
          - level: RequestResponse
            resources:
            - group: ""
              resources: ["pods"]

          # Log "pods/log", "pods/status" at Metadata level
          - level: Metadata
            resources:
            - group: ""
              resources: ["pods/log", "pods/status"]

          # Don't log requests to a configmap called "controller-leader"
          - level: None
            resources:
            - group: ""
              resources: ["configmaps"]
              resourceNames: ["controller-leader"]

          # Don't log watch requests by the "system:kube-proxy" on endpoints or services
          - level: None
            users: ["system:kube-proxy"]
            verbs: ["watch"]
            resources:
            - group: "" # core API group
              resources: ["endpoints", "services"]

          # Don't log authenticated requests to certain non-resource URL paths.
          - level: None
            userGroups: ["system:authenticated"]
            nonResourceURLs:
            - "/api*" # Wildcard matching.
            - "/version"

          # Log the request body of configmap changes in kube-system.
          - level: Request
            resources:
            - group: "" # core API group
              resources: ["configmaps"]
            # This rule only applies to resources in the "kube-system" namespace.
            # The empty string "" can be used to select non-namespaced resources.
            namespaces: ["kube-system"]

          # Log configmap and secret changes in all other namespaces at the Metadata level.
          - level: Metadata
            resources:
            - group: "" # core API group
              resources: ["secrets", "configmaps"]

          # Log all other resources in core and extensions at the Request level.
          - level: Request
            resources:
            - group: "" # core API group
            - group: "extensions" # Version of group should NOT be included.

          # A catch-all rule to log all other requests at the Metadata level.
          - level: Metadata

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: example-service-account
  pipelines:
    - name: my-pipeline
      inputRefs:
        - audit


      filterRefs:
        - my-policy


      outputRefs:
        - my-output
  filters:
    - name: my-policy
      type: kubeAPIAudit
      kubeAPIAudit:
        # Don't generate audit events for all requests in RequestReceived stage.
        omitStages:
          - "RequestReceived"

        rules:
          # Log pod changes at RequestResponse level
          - level: RequestResponse
            resources:
            - group: ""
              resources: ["pods"]

          # Log "pods/log", "pods/status" at Metadata level
          - level: Metadata
            resources:
            - group: ""
              resources: ["pods/log", "pods/status"]

          # Don't log requests to a configmap called "controller-leader"
          - level: None
            resources:
            - group: ""
              resources: ["configmaps"]
              resourceNames: ["controller-leader"]

          # Don't log watch requests by the "system:kube-proxy" on endpoints or services
          - level: None
            users: ["system:kube-proxy"]
            verbs: ["watch"]
            resources:
            - group: "" # core API group
              resources: ["endpoints", "services"]

          # Don't log authenticated requests to certain non-resource URL paths.
          - level: None
            userGroups: ["system:authenticated"]
            nonResourceURLs:
            - "/api*" # Wildcard matching.
            - "/version"

          # Log the request body of configmap changes in kube-system.
          - level: Request
            resources:
            - group: "" # core API group
              resources: ["configmaps"]
            # This rule only applies to resources in the "kube-system" namespace.
            # The empty string "" can be used to select non-namespaced resources.
            namespaces: ["kube-system"]

          # Log configmap and secret changes in all other namespaces at the Metadata level.
          - level: Metadata
            resources:
            - group: "" # core API group
              resources: ["secrets", "configmaps"]

          # Log all other resources in core and extensions at the Request level.
          - level: Request
            resources:
            - group: "" # core API group
            - group: "extensions" # Version of group should NOT be included.

          # A catch-all rule to log all other requests at the Metadata level.
          - level: Metadata

Copy to Clipboard

Toggle word wrap

1: 収集されたログの種類。このフィールドの値は、監査ログの場合は audit、アプリケーションログの場合は application、インフラストラクチャーログの場合は infrastructure、またはアプリケーション用に定義された名前付きの入力になります。
2: 監査ポリシーの名前。

1.5.6. ラベル式または一致するラベルキーと値を含む入力時でのアプリケーションログのフィルタリング
リンクのコピー

input セレクターを使用して、ラベル式または照合するラベルキーとその値に基づいてアプリケーションログを含めることができます。

手順

ClusterLogForwarder CR の input 仕様にフィルターの設定を追加します。

以下の例は、ラベル式または一致したラベルキー/値に基づいてログを組み込むように ClusterLogForwarder CR を設定する方法を示しています。

ClusterLogForwarder CR の例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        selector:
          matchExpressions:
          - key: env 
            operator: In 
            values: ["prod", "qa"] 
          - key: zone
            operator: NotIn
            values: ["east", "west"]
          matchLabels: 
            app: one
            name: app1
      type: application
# ...

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        selector:
          matchExpressions:
          - key: env


            operator: In


            values: ["prod", "qa"]


          - key: zone
            operator: NotIn
            values: ["east", "west"]
          matchLabels:


            app: one
            name: app1
      type: application
# ...

Copy to Clipboard

Toggle word wrap

1: 照合するラベルキーを指定します。
2: Operator を指定します。有効な値には、In、NotIn、Exists、DoesNotExist などがあります。
3: 文字列値の配列を指定します。operator 値が Exists または DoesNotExist のいずれかの場合、値の配列は空である必要があります。
4: 正確なキーまたは値のマッピングを指定します。

次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.5.7. ログレコードをプルーニングするコンテンツフィルターの設定
リンクのコピー

prune フィルターを設定すると、ログコレクターは転送前にフィルターに対してログストリームを評価します。コレクターは、Pod アノテーションなどの値の低いフィールドを削除してログレコードをプルーニングします。

前提条件

Red Hat OpenShift Logging Operator がインストールされている。
管理者権限がある。
ClusterLogForwarder カスタムリソース (CR) を作成した。
OpenShift CLI (oc) がインストールされている。

手順

既存の ClusterLogForwarder 設定を抽出し、ローカルファイルとして保存します。
```
oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
```
```
$ oc get clusterlogforwarder <name> -n <namespace> -o yaml > <filename>.yaml
```
Copy to Clipboard Toggle word wrap
詳細は、以下のようになります。
- <name> は、設定する ClusterLogForwarder インスタンスの名前です。
- <namespace> は、ClusterLogForwarder インスタンスを作成した namespace です (例: openshift-logging)。
- <filename> は、設定を保存するローカルファイルの名前です。
ClusterLogForwarder CR の filters spec にログレコードをプルーニングするための設定を追加します。
重要
in と notIn の両方のパラメーターを指定した場合、プルーニング中に notIn 配列が in よりも優先されます。notIn 配列を使用してレコードがプルーニングされた後、続いて in 配列を使用してレコードがプルーニングされます。
ClusterLogForwarder CR の例
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: my-account
  filters:
  - name: prune-filter
    type: prune 
    prune: 
      in: [.kubernetes.annotations, .kubernetes.namespace_id] 
      notIn: [.kubernetes,.log_type,.message,."@timestamp",.log_source] 
  pipelines:
  - name: my-pipeline 
    filterRefs: ["prune-filter"]
  # ...
```
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
metadata:
  name: instance
  namespace: openshift-logging
spec:
  serviceAccount:
    name: my-account
  filters:
  - name: prune-filter
    type: prune 
```
1
```
    prune: 
```
2
```
      in: [.kubernetes.annotations, .kubernetes.namespace_id] 
```
3
```
      notIn: [.kubernetes,.log_type,.message,."@timestamp",.log_source] 
```
4
```
  pipelines:
  - name: my-pipeline 
```
5
```
    filterRefs: ["prune-filter"]
  # ...
```
Copy to Clipboard Toggle word wrap
1
フィルターのタイプを指定します。prune フィルターでは、設定されたフィールドでログレコードをプルーニングします。
2
prune フィルターの設定オプションを指定します。
in フィールドと notIn フィールドは、ログレコード内のフィールドへのドットで区切られたパスの配列です。
各パスセグメントには、英数字とアンダースコア (a-z、A-Z、0-9、_) を含めることができます (例: .kubernetes.namespace_name)。
セグメントに異なる文字が含まれている場合は、セグメントを引用符で囲む必要があります (例: .kubernetes.labels."app.version-1.2/beta")。
3
オプション: ログレコードから削除するフィールドを指定します。ログコレクターが他のすべてのフィールドを保持します。
4
オプション: ログレコードに保持するフィールドを指定します。ログコレクターが他のすべてのフィールドを削除します。
5
prune フィルターを適用するパイプラインを指定します。
重要
フィルターは、ログレコードから .log_type、.log_source、.message フィールドを削除できません。それらを notIn フィールドに含める必要があります。
googleCloudLogging 出力を使用する場合は、notIn フィールドに .hostname を含める必要があります。
次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.6. ソースによる監査およびインフラストラクチャーログ入力のフィルタリング
リンクのコピー

input セレクターを使用して、ログを収集する audit および infrastructure ソースのリストを定義できます。

手順

ClusterLogForwarder CR に audit および infrastructure ソースを定義する設定を追加します。
次の例は、ClusterLogForwarder CR を設定して audit および infrastructure ソースを定義する方法を示しています。
ClusterLogForwarder CR の例
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs1
      type: infrastructure
      infrastructure:
        sources: 
          - node
    - name: mylogs2
      type: audit
      audit:
        sources: 
          - kubeAPI
          - openshiftAPI
          - ovn
# ...
```
```
apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs1
      type: infrastructure
      infrastructure:
        sources: 
```
1
```
          - node
    - name: mylogs2
      type: audit
      audit:
        sources: 
```
2
```
          - kubeAPI
          - openshiftAPI
          - ovn
# ...
```
Copy to Clipboard Toggle word wrap
1
収集するインフラストラクチャーソースのリストを指定します。有効なソースには以下が含まれます。
node: ノードからのジャーナルログ
container: namespace にデプロイされたワークロードからのログ
2
収集する audit ソースのリストを指定します。有効なソースには以下が含まれます。
kubeAPI: Kubernetes API サーバーからのログ
openshiftAPI: OpenShift API サーバーからのログ
auditd: ノードの auditd サービスからのログ
ovn: オープン仮想ネットワークサービスからのログ
次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

1.7. namespace またはコンテナー名を含めるか除外して入力時にアプリケーションログをフィルタリングする手順
リンクのコピー

input セレクターを使用して、namespace とコンテナー名に基づいてアプリケーションログを含めたり除外したりできます。

手順

ClusterLogForwarder CR に namespace とコンテナー名を含めるか除外するかの設定を追加します。

以下の例は、namespace およびコンテナー名を含めるか、除外するように ClusterLogForwarder CR を設定する方法を示しています。

ClusterLogForwarder CR の例

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        includes:
          - namespace: "my-project" 
            container: "my-container" 
        excludes:
          - container: "other-container*" 
            namespace: "other-namespace" 
      type: application
# ...

apiVersion: observability.openshift.io/v1
kind: ClusterLogForwarder
# ...
spec:
  serviceAccount:
    name: <service_account_name>
  inputs:
    - name: mylogs
      application:
        includes:
          - namespace: "my-project"


            container: "my-container"


        excludes:
          - container: "other-container*"


            namespace: "other-namespace"


      type: application
# ...

Copy to Clipboard

Toggle word wrap

1: ログがこれらの namespace からのみ収集されることを指定します。
2: ログがこれらのコンテナーからのみ収集されることを指定します。
3: ログを収集するときに無視する namespace のパターンを指定します。
4: ログを収集するときに無視するコンテナーのセットを指定します。

注記

excludes フィールドは includes フィールドよりも優先されます。

次のコマンドを実行して、ClusterLogForwarder CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

第2章ログストアの設定
リンクのコピー

アプリケーション、監査、インフラストラクチャー関連のログを保存するように LokiStack カスタムリソース (CR) を設定できます。

Loki は、水平スケーリング可能で可用性の高いマルチテナントログ集約システムで、OpenShift Observability UI で視覚化できる Logging for Red Hat OpenShift 用の GA ログストアとして提供されます。OpenShift Logging が提供する Loki 設定は、収集されたログを使用してユーザーが迅速にトラブルシューティングを実行できるように設計された短期ログストアです。この目的のために、Logging for Red Hat OpenShift の Loki 設定は短期ストレージを備えており、最新のクエリーに最適化されています。

重要

長期間にわたる保存やクエリーの場合、ユーザーはクラスター外部のログストアを探す必要があります。Loki のサイズ設定は、最大 30 日間の短期ストレージに対してのみテストおよびサポートされます。

2.1. Loki デプロイメントのサイズ
リンクのコピー

Loki のサイズは 1x.<size> の形式に従います。この場合の 1x はインスタンスの数を、<size> は性能を指定します。

1x.pico 設定は、最小限のリソースと制限要件を持つ単一の Loki デプロイメントを定義し、すべての Loki コンポーネントに高可用性 (HA) サポートを提供します。この設定は、単一のレプリケーションファクターまたは自動圧縮を必要としないデプロイメントに適しています。

ディスク要求はサイズ設定にかかわらず類似しているため、お客様はさまざまなサイズをテストして、それぞれのデプロイメントニーズに最適なサイズを決定できます。

重要

デプロイメントサイズの 1x の数は変更できません。

Expand

表2.1 Loki のサイズ
	1x.demo	1x.pico [6.1+ のみ]	1x.extra-small	1x.small	1x.medium
Data transfer	デモ使用のみ	50 GB/日	100 GB/日	500 GB/日	2 TB/日
1 秒あたりのクエリー数 (QPS)	デモ使用のみ	200 ミリ秒で 1 - 25 QPS	200 ミリ秒で 1 - 25 QPS	200 ミリ秒で 25 - 50 QPS	200 ミリ秒で 25 - 75 QPS
レプリケーション係数	なし	2	2	2	2
合計 CPU 要求	なし	仮想 CPU 7 個	仮想 CPU 14 個	仮想 CPU 34 個	仮想 CPU 54 個
ルーラーを使用する場合の合計 CPU リクエスト	なし	仮想 CPU 8 個	仮想 CPU 16 個	仮想 CPU 42 個	仮想 CPU 70 個
合計メモリー要求	なし	17 Gi	31 Gi	67 Gi	139 Gi
ルーラーを使用する場合の合計メモリーリクエスト	なし	18 Gi	35 Gi	83 Gi	171 Gi
合計ディスク要求	40 Gi	590 Gi	430 Gi	430 Gi	590 Gi
ルーラーを使用する場合の合計ディスクリクエスト	60 Gi	910 Gi	750 Gi	750 Gi	910 Gi

2.2. Loki オブジェクトストレージ
リンクのコピー

Loki Operator は、AWS S3 だけでなく、Minio や OpenShift Data Foundation などの他の S3 互換オブジェクトストアもサポートしています。Azure、GCS、および Swift もサポートされています。

Loki ストレージの推奨命名法は、logging-loki-<your_storage_provider> です。

次の表は、各ストレージプロバイダーの LokiStack カスタムリソース (CR) 内の type 値を示しています。詳細は、ストレージプロバイダーに関するセクションを参照してください。

Expand

表2.2 シークレットタイプのクイックリファレンス
ストレージプロバイダー	シークレットの `type` 値
AWS	s3
Azure	azure
Google Cloud	gcs
Minio	s3
OpenShift Data Foundation	s3
Swift	swift

2.2.1. AWS ストレージ
リンクのコピー

前提条件

Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。
AWS 上にバケットを作成している。
AWS IAM ポリシーと IAM ユーザーを作成している。

手順

次のコマンドを実行して、logging-loki-aws という名前のオブジェクトストレージシークレットを作成します。

oc create secret generic logging-loki-aws \
  --from-literal=bucketnames="<bucket_name>" \
  --from-literal=endpoint="<aws_bucket_endpoint>" \
  --from-literal=access_key_id="<aws_access_key_id>" \
  --from-literal=access_key_secret="<aws_access_key_secret>" \
  --from-literal=region="<aws_region_of_your_bucket>"

$ oc create secret generic logging-loki-aws \
  --from-literal=bucketnames="<bucket_name>" \
  --from-literal=endpoint="<aws_bucket_endpoint>" \
  --from-literal=access_key_id="<aws_access_key_id>" \
  --from-literal=access_key_secret="<aws_access_key_secret>" \
  --from-literal=region="<aws_region_of_your_bucket>"

Copy to Clipboard

Toggle word wrap

2.2.1.1. STS 対応クラスターの AWS ストレージ
リンクのコピー

クラスターで STS が有効になっている場合、Cloud Credential Operator (CCO) によって AWS トークンを使用した短期認証がサポートされます。

次のコマンドを実行すると、Loki オブジェクトストレージシークレットを手動で作成できます。

oc -n openshift-logging create secret generic "logging-loki-aws" \
  --from-literal=bucketnames="<s3_bucket_name>" \
  --from-literal=region="<bucket_region>" \
  --from-literal=audience="<oidc_audience>"

$ oc -n openshift-logging create secret generic "logging-loki-aws" \
  --from-literal=bucketnames="<s3_bucket_name>" \
  --from-literal=region="<bucket_region>" \
  --from-literal=audience="<oidc_audience>"

Copy to Clipboard

Toggle word wrap

1: 任意のアノテーション。デフォルト値は openshift です。

2.2.2. Azure ストレージ
リンクのコピー

前提条件

Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。
Azure 上にバケットを作成している。

手順

次のコマンドを実行して、logging-loki-azure という名前のオブジェクトストレージシークレットを作成します。

oc create secret generic logging-loki-azure \
  --from-literal=container="<azure_container_name>" \
  --from-literal=environment="<azure_environment>" \
  --from-literal=account_name="<azure_account_name>" \
  --from-literal=account_key="<azure_account_key>"

$ oc create secret generic logging-loki-azure \
  --from-literal=container="<azure_container_name>" \
  --from-literal=environment="<azure_environment>" \


  --from-literal=account_name="<azure_account_name>" \
  --from-literal=account_key="<azure_account_key>"

Copy to Clipboard

Toggle word wrap

1: サポートされている環境値は、AzureGlobal、AzureChinaCloud、AzureGermanCloud、AzureUSGovernment です。

2.2.2.1. Microsoft Entra Workload ID 対応クラスター用の Azure ストレージ
リンクのコピー

クラスターで Microsoft Entra Workload ID が有効になっている場合、Cloud Credential Operator (CCO) は Workload ID を使用した短期認証をサポートします。

次のコマンドを実行すると、Loki オブジェクトストレージシークレットを手動で作成できます。

oc -n openshift-logging create secret generic logging-loki-azure \
--from-literal=environment="<azure_environment>" \
--from-literal=account_name="<storage_account_name>" \
--from-literal=container="<container_name>"

$ oc -n openshift-logging create secret generic logging-loki-azure \
--from-literal=environment="<azure_environment>" \
--from-literal=account_name="<storage_account_name>" \
--from-literal=container="<container_name>"

Copy to Clipboard

Toggle word wrap

2.2.3. Google Cloud Platform ストレージ
リンクのコピー

前提条件

Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。
Google Cloud Platform (GCP) 上にプロジェクトを作成している。
同じプロジェクト内にバケットを作成している。
同じプロジェクト内に GCP 認証用のサービスアカウントを作成している。

手順

GCP から受け取ったサービスアカウントの認証情報を key.json という名前のファイルにコピーします。

次のコマンドを実行して、logging-loki-gcs という名前のオブジェクトストレージシークレットを作成します。

oc create secret generic logging-loki-gcs \
  --from-literal=bucketname="<bucket_name>" \
  --from-file=key.json="<path/to/key.json>"

$ oc create secret generic logging-loki-gcs \
  --from-literal=bucketname="<bucket_name>" \
  --from-file=key.json="<path/to/key.json>"

Copy to Clipboard

Toggle word wrap

2.2.4. Minio ストレージ
リンクのコピー

前提条件

Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。
Minio がクラスターにデプロイされている。
Minio 上にバケットを作成している。

手順

次のコマンドを実行して、logging-loki-minio という名前のオブジェクトストレージシークレットを作成します。

oc create secret generic logging-loki-minio \
  --from-literal=bucketnames="<bucket_name>" \
  --from-literal=endpoint="<minio_bucket_endpoint>" \
  --from-literal=access_key_id="<minio_access_key_id>" \
  --from-literal=access_key_secret="<minio_access_key_secret>"

$ oc create secret generic logging-loki-minio \
  --from-literal=bucketnames="<bucket_name>" \
  --from-literal=endpoint="<minio_bucket_endpoint>" \
  --from-literal=access_key_id="<minio_access_key_id>" \
  --from-literal=access_key_secret="<minio_access_key_secret>"

Copy to Clipboard

Toggle word wrap

2.2.5. OpenShift Data Foundation ストレージ
リンクのコピー

前提条件

Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。
OpenShift Data Foundation がデプロイされている。
OpenShift Data Foundation クラスターがオブジェクトストレージ用に設定されている。

手順

openshift-logging namespace に ObjectBucketClaim カスタムリソースを作成します。

apiVersion: objectbucket.io/v1alpha1
kind: ObjectBucketClaim
metadata:
  name: loki-bucket-odf
  namespace: openshift-logging
spec:
  generateBucketName: loki-bucket-odf
  storageClassName: openshift-storage.noobaa.io

apiVersion: objectbucket.io/v1alpha1
kind: ObjectBucketClaim
metadata:
  name: loki-bucket-odf
  namespace: openshift-logging
spec:
  generateBucketName: loki-bucket-odf
  storageClassName: openshift-storage.noobaa.io

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、関連付けられた ConfigMap オブジェクトからバケットのプロパティーを取得します。

BUCKET_HOST=$(oc get -n openshift-logging configmap loki-bucket-odf -o jsonpath='{.data.BUCKET_HOST}')
BUCKET_NAME=$(oc get -n openshift-logging configmap loki-bucket-odf -o jsonpath='{.data.BUCKET_NAME}')
BUCKET_PORT=$(oc get -n openshift-logging configmap loki-bucket-odf -o jsonpath='{.data.BUCKET_PORT}')

BUCKET_HOST=$(oc get -n openshift-logging configmap loki-bucket-odf -o jsonpath='{.data.BUCKET_HOST}')
BUCKET_NAME=$(oc get -n openshift-logging configmap loki-bucket-odf -o jsonpath='{.data.BUCKET_NAME}')
BUCKET_PORT=$(oc get -n openshift-logging configmap loki-bucket-odf -o jsonpath='{.data.BUCKET_PORT}')

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、関連付けられたシークレットからバケットアクセスキーを取得します。

ACCESS_KEY_ID=$(oc get -n openshift-logging secret loki-bucket-odf -o jsonpath='{.data.AWS_ACCESS_KEY_ID}' | base64 -d)
SECRET_ACCESS_KEY=$(oc get -n openshift-logging secret loki-bucket-odf -o jsonpath='{.data.AWS_SECRET_ACCESS_KEY}' | base64 -d)

ACCESS_KEY_ID=$(oc get -n openshift-logging secret loki-bucket-odf -o jsonpath='{.data.AWS_ACCESS_KEY_ID}' | base64 -d)
SECRET_ACCESS_KEY=$(oc get -n openshift-logging secret loki-bucket-odf -o jsonpath='{.data.AWS_SECRET_ACCESS_KEY}' | base64 -d)

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、logging-loki-odf という名前のオブジェクトストレージシークレットを作成します。

oc create -n openshift-logging secret generic logging-loki-odf \
--from-literal=access_key_id="<access_key_id>" \
--from-literal=access_key_secret="<secret_access_key>" \
--from-literal=bucketnames="<bucket_name>" \
--from-literal=endpoint="https://<bucket_host>:<bucket_port>"

$ oc create -n openshift-logging secret generic logging-loki-odf \
--from-literal=access_key_id="<access_key_id>" \
--from-literal=access_key_secret="<secret_access_key>" \
--from-literal=bucketnames="<bucket_name>" \
--from-literal=endpoint="https://<bucket_host>:<bucket_port>"

Copy to Clipboard

Toggle word wrap

2.2.6. Swift ストレージ:
リンクのコピー

前提条件

Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。
Swift 上でバケットを作成している。

手順

次のコマンドを実行して、logging-loki-swift という名前のオブジェクトストレージシークレットを作成します。

oc create secret generic logging-loki-swift \
  --from-literal=auth_url="<swift_auth_url>" \
  --from-literal=username="<swift_usernameclaim>" \
  --from-literal=user_domain_name="<swift_user_domain_name>" \
  --from-literal=user_domain_id="<swift_user_domain_id>" \
  --from-literal=user_id="<swift_user_id>" \
  --from-literal=password="<swift_password>" \
  --from-literal=domain_id="<swift_domain_id>" \
  --from-literal=domain_name="<swift_domain_name>" \
  --from-literal=container_name="<swift_container_name>"

$ oc create secret generic logging-loki-swift \
  --from-literal=auth_url="<swift_auth_url>" \
  --from-literal=username="<swift_usernameclaim>" \
  --from-literal=user_domain_name="<swift_user_domain_name>" \
  --from-literal=user_domain_id="<swift_user_domain_id>" \
  --from-literal=user_id="<swift_user_id>" \
  --from-literal=password="<swift_password>" \
  --from-literal=domain_id="<swift_domain_id>" \
  --from-literal=domain_name="<swift_domain_name>" \
  --from-literal=container_name="<swift_container_name>"

Copy to Clipboard

Toggle word wrap

必要に応じて、次のコマンドを実行して、プロジェクト固有のデータ、リージョン、またはその両方を指定できます。

oc create secret generic logging-loki-swift \
  --from-literal=auth_url="<swift_auth_url>" \
  --from-literal=username="<swift_usernameclaim>" \
  --from-literal=user_domain_name="<swift_user_domain_name>" \
  --from-literal=user_domain_id="<swift_user_domain_id>" \
  --from-literal=user_id="<swift_user_id>" \
  --from-literal=password="<swift_password>" \
  --from-literal=domain_id="<swift_domain_id>" \
  --from-literal=domain_name="<swift_domain_name>" \
  --from-literal=container_name="<swift_container_name>" \
  --from-literal=project_id="<swift_project_id>" \
  --from-literal=project_name="<swift_project_name>" \
  --from-literal=project_domain_id="<swift_project_domain_id>" \
  --from-literal=project_domain_name="<swift_project_domain_name>" \
  --from-literal=region="<swift_region>"

$ oc create secret generic logging-loki-swift \
  --from-literal=auth_url="<swift_auth_url>" \
  --from-literal=username="<swift_usernameclaim>" \
  --from-literal=user_domain_name="<swift_user_domain_name>" \
  --from-literal=user_domain_id="<swift_user_domain_id>" \
  --from-literal=user_id="<swift_user_id>" \
  --from-literal=password="<swift_password>" \
  --from-literal=domain_id="<swift_domain_id>" \
  --from-literal=domain_name="<swift_domain_name>" \
  --from-literal=container_name="<swift_container_name>" \
  --from-literal=project_id="<swift_project_id>" \
  --from-literal=project_name="<swift_project_name>" \
  --from-literal=project_domain_id="<swift_project_domain_id>" \
  --from-literal=project_domain_name="<swift_project_domain_name>" \
  --from-literal=region="<swift_region>"

Copy to Clipboard

Toggle word wrap

2.2.7. 短期認証情報を使用するクラスターに Loki ログストアのデプロイ
リンクのコピー

一部のストレージプロバイダーでは、インストール時に Cloud Credential Operator ユーティリティー (ccoctl) を使用して、短期認証情報を実装できます。これらの認証情報は、OpenShift Container Platform クラスターの外部で作成および管理されます。詳細は、コンポーネントの短期認証情報を使用した手動モードを参照してください。

注記

この認証情報ストラテジーを使用するクラスターでは、Loki Operator の新規インストール中に短期認証情報の認証を設定する必要があります。この機能を使用するために、既存のクラスターが別のクレデンシャルストラテジーを使用するように設定することはできません。

2.2.7.1. クラウドベースのログストアにアクセスするために Workload Identity Federation で認証する
リンクのコピー

有効期間の短いトークンを使用した Workload Identity Federation を使用して、クラウドベースのログストアに対して認証を行うことができます。Workload Identity Federation を使用すると、長期間有効な認証情報をクラスターに保存する必要がなくなり、認証情報の漏洩のリスクが軽減され、シークレットの管理が簡素化されます。

前提条件

管理者権限がある。

手順

認証を有効にするには、次のいずれかのオプションを使用します。

OpenShift Container Platform Web コンソールを使用して Loki Operator をインストールした場合、システムは有効期間の短いトークンを使用するクラスターを自動的に検出します。プロンプトが表示され、ロールを作成するように求められます。また、Loki Operator が CredentialsRequest オブジェクトを作成するのに必要なデータを提供するように求められます。このオブジェクトにより、シークレットが設定されます。

OpenShift CLI (oc) を使用して Loki Operator をインストールした場合は、Subscription オブジェクトを手動で作成する必要があります。次のサンプルに示すように、ストレージプロバイダーに適したテンプレートを使用します。この認証ストラテジーは、サンプル内に示されているストレージプロバイダーのみをサポートします。

Microsoft Azure サンプルサブスクリプション

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.2"
  installPlanApproval: Manual
  name: loki-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
      - name: CLIENTID
        value: <your_client_id>
      - name: TENANTID
        value: <your_tenant_id>
      - name: SUBSCRIPTIONID
        value: <your_subscription_id>
      - name: REGION
        value: <your_region>

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.2"
  installPlanApproval: Manual
  name: loki-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
      - name: CLIENTID
        value: <your_client_id>
      - name: TENANTID
        value: <your_tenant_id>
      - name: SUBSCRIPTIONID
        value: <your_subscription_id>
      - name: REGION
        value: <your_region>

Copy to Clipboard

Toggle word wrap

Amazon Web Services (AWS) サンプルサブスクリプション

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.2"
  installPlanApproval: Manual
  name: loki-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
    - name: ROLEARN
      value: <role_ARN>

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.2"
  installPlanApproval: Manual
  name: loki-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
    - name: ROLEARN
      value: <role_ARN>

Copy to Clipboard

Toggle word wrap

Google Cloud Platform (GCP) サンプルサブスクリプション

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.2"
  installPlanApproval: Manual
  name: loki-operator
  source:  redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
    - name: PROJECT_NUMBER
      value: <your_project_number>
    - name: POOL_ID
      value: <your_pool_id>
    - name: PROVIDER_ID
      value: <your_provider_id>
    - name: SERVICE_ACCOUNT_EMAIL
      value: example@mydomain.iam.gserviceaccount.com

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: loki-operator
  namespace: openshift-operators-redhat
spec:
  channel: "stable-6.2"
  installPlanApproval: Manual
  name: loki-operator
  source:  redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
    - name: PROJECT_NUMBER
      value: <your_project_number>
    - name: POOL_ID
      value: <your_pool_id>
    - name: PROVIDER_ID
      value: <your_provider_id>
    - name: SERVICE_ACCOUNT_EMAIL
      value: example@mydomain.iam.gserviceaccount.com

Copy to Clipboard

Toggle word wrap

2.2.7.2. Web コンソールを使用して LokiStack カスタムリソースを作成する
リンクのコピー

OpenShift Container Platform Web コンソールを使用して、LokiStack カスタムリソース (CR) を作成できます。

前提条件

管理者権限がある。
OpenShift Container Platform Web コンソールにアクセスできる。
Loki Operator がインストールされている。

手順

Operators → Installed Operators ページに移動します。All instances タブをクリックします。
Create new ドロップダウンリストから、LokiStack を選択します。
YAML view を選択し、次のテンプレートを使用して LokiStack CR を作成します。
```
apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki 
  namespace: openshift-logging
spec:
  size: 1x.small 
  storage:
    schemas:
      - effectiveDate: '2023-10-15'
        version: v13
    secret:
      name: logging-loki-s3 
      type: s3 
      credentialMode: 
  storageClassName: <storage_class_name> 
  tenants:
    mode: openshift-logging
```
```
apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki 
```
1
```
  namespace: openshift-logging
spec:
  size: 1x.small 
```
2
```
  storage:
    schemas:
      - effectiveDate: '2023-10-15'
        version: v13
    secret:
      name: logging-loki-s3 
```
3
```
      type: s3 
```
4
```
      credentialMode: 
```
5
```
  storageClassName: <storage_class_name> 
```
6
```
  tenants:
    mode: openshift-logging
```
Copy to Clipboard Toggle word wrap
1
logging-loki という名前を使用します。
2
デプロイメントサイズを指定します。ロギング 5.8 以降のバージョンでは、Loki の実稼働インスタンスでサポートされているサイズオプションは 1x.extra-small、1x.small、または 1x.medium です。
3
ログストレージに使用するシークレットを指定します。
4
対応するストレージタイプを指定します。
5
任意のフィールド、Logging 5.9 以降。サポートされているユーザー設定値は、次のとおりです。static は、シークレットに保存された認証情報を使用する、サポートされているすべてのオブジェクトストレージタイプで使用できるデフォルトの認証モードです。token は、認証情報ソースから取得される有効期間が短いトークンです。このモードでは、オブジェクトストレージに必要な認証情報が静的設定に格納されません。代わりに、実行時にサービスを使用して認証情報が生成されるため、有効期間が短い認証情報の使用と、よりきめ細かい制御が可能になります。この認証モードは、すべてのオブジェクトストレージタイプでサポートされているわけではありません。Loki がマネージド STS モードで実行されていて、STS/WIF クラスターで CCO を使用している場合、token-cco がデフォルト値です。
6
一時ストレージのストレージクラスの名前を入力します。最適なパフォーマンスを得るには、ブロックストレージを割り当てるストレージクラスを指定します。クラスターで使用可能なストレージクラスは、oc get storageclasses コマンドを使用してリスト表示できます。

2.2.7.3. CLI を使用して Loki オブジェクトストレージのシークレットを作成する
リンクのコピー

Loki オブジェクトストレージを設定するには、シークレットを作成する必要があります。これは、OpenShift CLI (oc) を使用して実行できます。

前提条件

管理者権限がある。
Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。

手順

次のコマンドを使用して、証明書とキーファイルが含まれるディレクトリーにシークレットを作成できます。

oc create secret generic -n openshift-logging <your_secret_name> \
 --from-file=tls.key=<your_key_file>

$ oc create secret generic -n openshift-logging <your_secret_name> \
 --from-file=tls.key=<your_key_file>
 --from-file=tls.crt=<your_crt_file>
 --from-file=ca-bundle.crt=<your_bundle_file>
 --from-literal=username=<your_username>
 --from-literal=password=<your_password>

Copy to Clipboard

Toggle word wrap

注記

最良の結果を得るには、generic または opaque シークレットを使用してください。

検証

次のコマンドを実行して、シークレットが作成されたことを確認します。
```
oc get secrets
```
```
$ oc get secrets
```
Copy to Clipboard Toggle word wrap

2.2.8. Loki ログへのアクセスの詳細設定
リンクのコピー

Red Hat OpenShift Logging Operator は、デフォルトではすべてのユーザーにログへのアクセスを付与しません。Operator のアップグレード後に以前の設定を適用していない限り、管理者はユーザーのアクセスを設定する必要があります。設定とニーズに応じて、以下を使用してログへのアクセスを細かく設定できます。

クラスター全体のポリシー
スコープ指定が namespace のポリシー
カスタム管理者グループの作成

管理者は、デプロイメントに適したロールバインディングとクラスターのロールバインディングを作成する必要があります。Red Hat OpenShift Logging Operator には、次のクラスターロールがあります。

cluster-logging-application-view は、アプリケーションログの読み取り権限を付与します。
cluster-logging-infrastructure-view は、インフラストラクチャーログの読み取り権限を付与します。
cluster-logging-audit-view は、監査ログの読み取り権限を付与します。

以前のバージョンからアップグレードした場合、追加のクラスターロール logging-application-logs-reader と関連するクラスターロールバインディング logging-all-authenticated-application-logs-reader により下位互換性が提供され、認証されたユーザーに namespace の読み取り権限が許可されます。

注記

namespace ごとのアクセス権を持つユーザーは、アプリケーションログをクエリーする際に namespace を提供する必要があります。

2.2.8.1. クラスター全体のアクセス
リンクのコピー

クラスターロールバインディングリソースはクラスターロールを参照し、クラスター全体に権限を設定します。

ClusterRoleBinding の例

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: logging-all-application-logs-reader
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-logging-application-view 
subjects: 
- kind: Group
  name: system:authenticated
  apiGroup: rbac.authorization.k8s.io

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: logging-all-application-logs-reader
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-logging-application-view


subjects:


- kind: Group
  name: system:authenticated
  apiGroup: rbac.authorization.k8s.io

Copy to Clipboard

Toggle word wrap

1: cluster-logging-infrastructure-view および cluster-logging-audit-view は、追加の ClusterRoles です。
2: このオブジェクトが適用されるユーザーまたはグループを指定します。

2.2.8.2. namespace アクセス
リンクのコピー

RoleBinding リソースを ClusterRole オブジェクトと使用して、ユーザーまたはグループがログにアクセスできる namespace を定義できます。

RoleBinding の例

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: allow-read-logs
  namespace: log-test-0 
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-logging-application-view
subjects:
- kind: User
  apiGroup: rbac.authorization.k8s.io
  name: testuser-0

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: allow-read-logs
  namespace: log-test-0


roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-logging-application-view
subjects:
- kind: User
  apiGroup: rbac.authorization.k8s.io
  name: testuser-0

Copy to Clipboard

Toggle word wrap

1: この RoleBinding が適用される namespace を指定します。

2.2.8.3. カスタム管理者グループのアクセス権
リンクのコピー

多数のユーザーが広範な権限を必要とする大規模デプロイメントの場合は、adminGroup フィールドを使用してカスタムグループを作成できます。LokiStack CR の adminGroups フィールドで指定されたグループのメンバーであるユーザーは、管理者とみなされます。

cluster-logging-application-view ロールも割り当てられている管理者ユーザーは、すべての namespace のすべてのアプリケーションログにアクセスできます。

LokiStack CR の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  tenants:
    mode: openshift-logging 
    openshift:
      adminGroups: 
      - cluster-admin
      - custom-admin-group

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  tenants:
    mode: openshift-logging


    openshift:
      adminGroups:


      - cluster-admin
      - custom-admin-group

Copy to Clipboard

Toggle word wrap

1: カスタム管理者グループは、このモードでのみ使用できます。
2: このフィールドに空のリスト値 [] を入力すると、管理者グループが無効になります。
3: デフォルトのグループ (system:cluster-admins、cluster-admin、dedicated-admin) をオーバーライドします。

2.2.9. cluster-admin ユーザーロールの新規グループの作成
リンクのコピー

重要

cluster-admin ユーザーとして複数の namespace のアプリケーションログをクエリーすると、クラスター内のすべての namespace の文字数の合計が 5120 を超え、Parse error: input size too long (XXXX > 5120) エラーが発生します。LokiStack のログへのアクセスをより適切に制御するには、cluster-admin ユーザーを cluster-admin グループのメンバーにします。cluster-admin グループが存在しない場合は、作成して必要なユーザーを追加します。

次の手順を使用して、cluster-admin 権限のあるユーザー用に、新しいグループを作成します。

手順

以下のコマンドを入力して新規グループを作成します。
```
oc adm groups new cluster-admin
```
```
$ oc adm groups new cluster-admin
```
Copy to Clipboard Toggle word wrap
以下のコマンドを実行して、必要なユーザーを cluster-admin グループに追加します。
```
oc adm groups add-users cluster-admin <username>
```
```
$ oc adm groups add-users cluster-admin <username>
```
Copy to Clipboard Toggle word wrap
以下のコマンドを実行して cluster-admin ユーザーロールをグループに追加します。
```
oc adm policy add-cluster-role-to-group cluster-admin cluster-admin
```
```
$ oc adm policy add-cluster-role-to-group cluster-admin cluster-admin
```
Copy to Clipboard Toggle word wrap

2.3. 信頼性とパフォーマンスの向上
リンクのコピー

実稼働環境で Loki の信頼性と効率性を確保するには、次の設定を使用します。

2.3.1. Loki Pod の配置
リンクのコピー

Pod の toleration またはノードセレクターを使用して、Loki Pod が実行するノードを制御し、他のワークロードがそれらのノードを使用しないようにできます。

LokiStack カスタムリソース (CR) を使用して toleration をログストア Pod に適用し、ノード仕様を使用して taint をノードに適用できます。ノードの taint は、taint を容認しないすべての Pod を拒否するようノードに指示する key:value ペアです。他の Pod にはない特定の key:value ペアを使用すると、ログストア Pod のみがそのノードで実行できるようになります。

ノードセレクターを使用する LokiStack の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    compactor: 
      nodeSelector:
        node-role.kubernetes.io/infra: "" 
    distributor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    gateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    indexGateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    ingester:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    querier:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    queryFrontend:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    ruler:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
# ...

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    compactor:


      nodeSelector:
        node-role.kubernetes.io/infra: ""


    distributor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    gateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    indexGateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    ingester:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    querier:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    queryFrontend:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
    ruler:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
# ...

Copy to Clipboard

Toggle word wrap

1: ノードセレクターに適用されるコンポーネント Pod タイプを指定します。
2: 定義されたラベルが含まれるノードに移動する Pod を指定します。

ノードセレクターと toleration を使用する LokiStack CR の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    compactor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    distributor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    indexGateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    ingester:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    querier:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    queryFrontend:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    ruler:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    gateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
# ...

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    compactor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    distributor:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    indexGateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    ingester:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    querier:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    queryFrontend:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    ruler:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
    gateway:
      nodeSelector:
        node-role.kubernetes.io/infra: ""
      tolerations:
      - effect: NoSchedule
        key: node-role.kubernetes.io/infra
        value: reserved
      - effect: NoExecute
        key: node-role.kubernetes.io/infra
        value: reserved
# ...

Copy to Clipboard

Toggle word wrap

LokiStack (CR) の nodeSelector フィールドと tolerations フィールドを設定するには、oc explain コマンドを使用して、特定のリソースの説明とフィールドを表示します。

oc explain lokistack.spec.template

$ oc explain lokistack.spec.template

Copy to Clipboard

Toggle word wrap

出力例

KIND:     LokiStack
VERSION:  loki.grafana.com/v1

RESOURCE: template <Object>

DESCRIPTION:
     Template defines the resource/limits/tolerations/nodeselectors per
     component

FIELDS:
   compactor	<Object>
     Compactor defines the compaction component spec.

   distributor	<Object>
     Distributor defines the distributor component spec.
...

KIND:     LokiStack
VERSION:  loki.grafana.com/v1

RESOURCE: template <Object>

DESCRIPTION:
     Template defines the resource/limits/tolerations/nodeselectors per
     component

FIELDS:
   compactor	<Object>
     Compactor defines the compaction component spec.

   distributor	<Object>
     Distributor defines the distributor component spec.
...

Copy to Clipboard

Toggle word wrap

詳細情報用に、特定のフィールドを追加できます。

oc explain lokistack.spec.template.compactor

$ oc explain lokistack.spec.template.compactor

Copy to Clipboard

Toggle word wrap

出力例

KIND:     LokiStack
VERSION:  loki.grafana.com/v1

RESOURCE: compactor <Object>

DESCRIPTION:
     Compactor defines the compaction component spec.

FIELDS:
   nodeSelector	<map[string]string>
     NodeSelector defines the labels required by a node to schedule the
     component onto it.
...

KIND:     LokiStack
VERSION:  loki.grafana.com/v1

RESOURCE: compactor <Object>

DESCRIPTION:
     Compactor defines the compaction component spec.

FIELDS:
   nodeSelector	<map[string]string>
     NodeSelector defines the labels required by a node to schedule the
     component onto it.
...

Copy to Clipboard

Toggle word wrap

2.3.2. ノードの障害を許容するための Loki の設定
リンクのコピー

ロギング 5.8 以降のバージョンでは、Loki Operator は、同じコンポーネントの Pod がクラスター内の異なる使用可能なノードにスケジュールされるように要求する Pod 非アフィニティールールの設定をサポートします。

アフィニティーとは、スケジュールするノードを制御する Pod の特性です。非アフィニティーとは、Pod がスケジュールされることを拒否する Pod の特性です。

OpenShift Container Platform では、Pod のアフィニティー と Pod の非アフィニティー によって、他の Pod のキー/値ラベルに基づいて、Pod のスケジュールに適したノードを制限できます。

Operator は、すべての Loki コンポーネント (compactor、distributor、gateway、indexGateway、ingester、querier、queryFrontend、および ruler コンポーネントを含む) に対してデフォルトの優先 podAntiAffinity ルールを設定します。

requiredDuringSchedulingIgnoredDuringExecution フィールドに必要な設定を指定して、Loki コンポーネントの希望の podAntiAffinity 設定を上書きできます。

インジェスターコンポーネントのユーザー設定の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    ingester:
      podAntiAffinity:
      # ...
        requiredDuringSchedulingIgnoredDuringExecution: 
        - labelSelector:
            matchLabels: 
              app.kubernetes.io/component: ingester
          topologyKey: kubernetes.io/hostname
# ...

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  template:
    ingester:
      podAntiAffinity:
      # ...
        requiredDuringSchedulingIgnoredDuringExecution:


        - labelSelector:
            matchLabels:


              app.kubernetes.io/component: ingester
          topologyKey: kubernetes.io/hostname
# ...

Copy to Clipboard

Toggle word wrap

1: 必要なルールを定義するスタンザです。
2: ルールを適用するために一致している必要のあるキー/値のペア (ラベル) です。

2.3.3. Loki でストリームベースの保持の有効化
リンクのコピー

ログストリームに基づいて保持ポリシーを設定できます。保持ルールは、グローバル、テナントごと、またはその両方で設定できます。両方で設定すると、グローバルルールの前にテナントルールが適用されます。

重要

s3 バケットまたは LokiStack カスタムリソース (CR) に保存期間が定義されていない場合、ログはプルーニングされず、s3 バケットに永久に残り、s3 ストレージがいっぱいになる可能性があります。

注記

Logging バージョン 5.9 以降ではスキーマ v12 がサポートされていますが、将来の互換性のためにスキーマ v13 が推奨されます。
コスト効率の高いログプルーニングを行うには、オブジェクトストレージプロバイダーで直接保持ポリシーを設定します。ストレージプロバイダーのライフサイクル管理機能を使用して、古いログが自動的に削除されるようにします。これにより、Loki からの追加処理と S3 への削除リクエストも回避されます。
オブジェクトストレージがライフサイクルポリシーをサポートしていない場合は、内部で保持を強制するように LokiStack を設定する必要があります。サポートされる保持期間は最大 30 日間です。

前提条件

管理者権限がある。
Loki Operator がインストールされている。
OpenShift CLI (oc) がインストールされている。

手順

ストリームベースの保持を有効にするには、LokiStack CR を作成し、YAML ファイルとして保存します。次の例では、lokistack.yaml という名前になっています。

S3 のグローバルストリームベースの保持の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
   global: 
      retention: 
        days: 20
        streams:
        - days: 4
          priority: 1
          selector: '{kubernetes_namespace_name=~"test.+"}' 
        - days: 1
          priority: 1
          selector: '{log_type="infrastructure"}'
  managementState: Managed
  replicationFactor: 1
  size: 1x.small
  storage:
    schemas:
    - effectiveDate: "2020-10-11"
      version: v13
    secret:
      name: logging-loki-s3
      type: s3
  storageClassName: gp3-csi
  tenants:
    mode: openshift-logging

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
   global:


      retention:


        days: 20
        streams:
        - days: 4
          priority: 1
          selector: '{kubernetes_namespace_name=~"test.+"}'


        - days: 1
          priority: 1
          selector: '{log_type="infrastructure"}'
  managementState: Managed
  replicationFactor: 1
  size: 1x.small
  storage:
    schemas:
    - effectiveDate: "2020-10-11"
      version: v13
    secret:
      name: logging-loki-s3
      type: s3
  storageClassName: gp3-csi
  tenants:
    mode: openshift-logging

Copy to Clipboard

Toggle word wrap

1: すべてのログストリームの保持ポリシーを設定します。このポリシーは、オブジェクトストレージに保存されるログの保持期間には影響しません。
2: retention ブロックを CR に追加して、クラスター内の保持を有効にします。
3: ログストリームを保持ルールに一致させるための LogQL クエリーを指定します。

S3 のテナントごとのストリームベースの保持の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
    global:
      retention:
        days: 20
    tenants: 
      application:
        retention:
          days: 1
          streams:
            - days: 4
              selector: '{kubernetes_namespace_name=~"test.+"}' 
      infrastructure:
        retention:
          days: 5
          streams:
            - days: 1
              selector: '{kubernetes_namespace_name=~"openshift-cluster.+"}'
  managementState: Managed
  replicationFactor: 1
  size: 1x.small
  storage:
    schemas:
    - effectiveDate: "2020-10-11"
      version: v13
    secret:
      name: logging-loki-s3
      type: s3
  storageClassName: gp3-csi
  tenants:
    mode: openshift-logging

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
    global:
      retention:
        days: 20
    tenants:


      application:
        retention:
          days: 1
          streams:
            - days: 4
              selector: '{kubernetes_namespace_name=~"test.+"}'


      infrastructure:
        retention:
          days: 5
          streams:
            - days: 1
              selector: '{kubernetes_namespace_name=~"openshift-cluster.+"}'
  managementState: Managed
  replicationFactor: 1
  size: 1x.small
  storage:
    schemas:
    - effectiveDate: "2020-10-11"
      version: v13
    secret:
      name: logging-loki-s3
      type: s3
  storageClassName: gp3-csi
  tenants:
    mode: openshift-logging

Copy to Clipboard

Toggle word wrap

1: テナントごとに保持ポリシーを設定します。有効なテナントタイプは、application、audit、および infrastructure です。
2: ログストリームを保持ルールに一致させるための LogQL クエリーを指定します。

LokiStack CR を適用します。
```
oc apply -f lokistack.yaml
```
```
$ oc apply -f lokistack.yaml
```
Copy to Clipboard Toggle word wrap

2.3.4. メンバーリストの作成の失敗を許容する Loki の設定
リンクのコピー

OpenShift Container Platform クラスターでは、管理者は通常、非プライベート IP ネットワーク範囲を使用します。その結果、LokiStack メンバーリストはデフォルトでプライベート IP ネットワークのみを使用するため、LokiStack メンバーリストの設定は失敗します。

管理者は、メンバーリスト設定の Pod ネットワークを選択できます。LokiStack カスタムリソース (CR) を変更して、hashRing 仕様で podIP アドレスを使用できます。LokiStack CR を設定するには、以下のコマンドを使用します。

oc patch LokiStack logging-loki -n openshift-logging  --type=merge -p '{"spec": {"hashRing":{"memberlist":{"instanceAddrType":"podIP"},"type":"memberlist"}}}'

$ oc patch LokiStack logging-loki -n openshift-logging  --type=merge -p '{"spec": {"hashRing":{"memberlist":{"instanceAddrType":"podIP"},"type":"memberlist"}}}'

Copy to Clipboard

Toggle word wrap

podIP を含める LokiStack の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  hashRing:
    type: memberlist
    memberlist:
      instanceAddrType: podIP
# ...

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
# ...
  hashRing:
    type: memberlist
    memberlist:
      instanceAddrType: podIP
# ...

Copy to Clipboard

Toggle word wrap

2.3.5. クラスターの再起動中の LokiStack 動作
リンクのコピー

OpenShift Container Platform クラスターが再起動されると、LokiStack の取り込みとクエリーパスは、ノードで使用可能な CPU およびメモリーリソース内で引き続き動作します。つまり、OpenShift Container Platform クラスターの更新中に LokiStack でダウンタイムは発生しません。この動作は、PodDisruptionBudget リソースを使用して実現されます。Loki Operator は、Loki に PodDisruptionBudget リソースをプロビジョニングします。このリソースは、特定の条件下で通常の操作ができるようにコンポーネントごとに使用可能でなければならない Pod の最小数を決定します。

2.4. 高度なデプロイメントとスケーラビリティー
リンクのコピー

高可用性、スケーラビリティー、およびエラー処理を設定するには、次の情報を使用します。

2.4.1. ゾーン対応のデータレプリケーション
リンクのコピー

Loki Operator は、Pod トポロジーの分散制約を通じて、ゾーン対応のデータレプリケーションのサポートを提供します。この機能を有効にすると、信頼性が向上し、1 つのゾーンで障害が発生した場合のログ損失に対する保護が強化されます。デプロイメントサイズを 1x.extra-small、1x.small、または 1x.medium に設定すると、replication.factor フィールドは自動的に 2 に設定されます。

適切なレプリケーションを実現するには、少なくともレプリケーション係数で指定されているのと同じ数のアベイラビリティーゾーンが必要です。レプリケーション係数より多くのアベイラビリティーゾーンを設定することは可能ですが、ゾーンが少ないと書き込みエラーが発生する可能性があります。最適な運用を実現するには、各ゾーンで同じ数のインスタンスをホストする必要があります。

ゾーンレプリケーションが有効になっている LokiStack CR の例

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
 name: logging-loki
 namespace: openshift-logging
spec:
 replicationFactor: 2 
 replication:
   factor: 2 
   zones:
   -  maxSkew: 1 
      topologyKey: topology.kubernetes.io/zone

apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
 name: logging-loki
 namespace: openshift-logging
spec:
 replicationFactor: 2


 replication:
   factor: 2


   zones:
   -  maxSkew: 1


      topologyKey: topology.kubernetes.io/zone

Copy to Clipboard

Toggle word wrap

1: 非推奨のフィールド。入力された値は replication.factor によって上書きされます。
2: この値は、セットアップ時にデプロイメントサイズが選択されると自動的に設定されます。
3: 任意の 2 つのトポロジードメイン間の Pod 数の最大差。デフォルトは 1 で、0 の値を指定することはできません。
4: ノードラベルに対応するトポロジーキーの形式でゾーンを定義します。

2.4.2. 障害が発生したゾーンからの Loki Pod の回復
リンクのコピー

OpenShift Container Platform では、特定のアベイラビリティーゾーンのリソースにアクセスできなくなると、ゾーン障害が発生します。アベイラビリティーゾーンは、冗長性とフォールトトレランスを強化することを目的とした、クラウドプロバイダーのデータセンター内の分離されたエリアです。OpenShift Container Platform クラスターがこの問題を処理するように設定されていない場合、ゾーン障害によりサービスまたはデータの損失が発生する可能性があります。

Loki Pod は StatefulSet の一部であり、StorageClass オブジェクトによってプロビジョニングされた永続ボリューム要求 (PVC) が付属しています。各 Loki Pod とその PVC は同じゾーンに存在します。クラスターでゾーン障害が発生すると、StatefulSet コントローラーが、障害が発生したゾーン内の影響を受けた Pod の回復を自動的に試みます。

警告

次の手順では、障害が発生したゾーン内の PVC とそこに含まれるすべてのデータを削除します。完全なデータ損失を回避するには、LokiStack CR のレプリケーション係数フィールドを常に 1 より大きい値に設定して、Loki が確実にレプリケートされるようにする必要があります。

前提条件

LokiStack CR のレプリケーション係数が 1 より大きいことを確認している。
コントロールプレーンによってゾーン障害が検出され、障害が発生したゾーン内のノードがクラウドプロバイダー統合によってマークされている。

StatefulSet コントローラーは、障害が発生したゾーン内の Pod を自動的に再スケジュールしようとします。関連する PVC も障害が発生したゾーンにあるため、別のゾーンへの自動再スケジュールは機能しません。新しいゾーンでステートフル Loki Pod とそのプロビジョニングされた PVC を正常に再作成できるようにするには、障害が発生したゾーンの PVC を手動で削除する必要があります。

手順

次のコマンドを実行して、Pending 中ステータスの Pod をリスト表示します。

oc get pods --field-selector status.phase==Pending -n openshift-logging

$ oc get pods --field-selector status.phase==Pending -n openshift-logging

Copy to Clipboard

Toggle word wrap

oc get pods の出力例

NAME                           READY   STATUS    RESTARTS   AGE 
logging-loki-index-gateway-1   0/1     Pending   0          17m
logging-loki-ingester-1        0/1     Pending   0          16m
logging-loki-ruler-1           0/1     Pending   0          16m

NAME                           READY   STATUS    RESTARTS   AGE


logging-loki-index-gateway-1   0/1     Pending   0          17m
logging-loki-ingester-1        0/1     Pending   0          16m
logging-loki-ruler-1           0/1     Pending   0          16m

Copy to Clipboard

Toggle word wrap

1: これらの Pod は、障害が発生したゾーンに対応する PVC があるため、Pending ステータスになっています。

次のコマンドを実行して、Pending ステータスの PVC をリストします。

oc get pvc -o=json -n openshift-logging | jq '.items[] | select(.status.phase == "Pending") | .metadata.name' -r

$ oc get pvc -o=json -n openshift-logging | jq '.items[] | select(.status.phase == "Pending") | .metadata.name' -r

Copy to Clipboard

Toggle word wrap

oc get pvc の出力例

storage-logging-loki-index-gateway-1
storage-logging-loki-ingester-1
wal-logging-loki-ingester-1
storage-logging-loki-ruler-1
wal-logging-loki-ruler-1

storage-logging-loki-index-gateway-1
storage-logging-loki-ingester-1
wal-logging-loki-ingester-1
storage-logging-loki-ruler-1
wal-logging-loki-ruler-1

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して Pod の PVC を削除します。
```
oc delete pvc <pvc_name> -n openshift-logging
```
```
$ oc delete pvc <pvc_name> -n openshift-logging
```
Copy to Clipboard Toggle word wrap
次のコマンドを実行して Pod を削除します。
```
oc delete pod <pod_name> -n openshift-logging
```
```
$ oc delete pod <pod_name> -n openshift-logging
```
Copy to Clipboard Toggle word wrap
これらのオブジェクトが正常に削除されると、使用可能なゾーンでオブジェクトが自動的に再スケジュールされます。

2.4.2.1. terminating 状態の PVC のトラブルシューティング
リンクのコピー

PVC メタデータファイナライザーが kubernetes.io/pv-protection に設定されている場合、PVC が削除されずに terminating 状態でハングする可能性があります。ファイナライザーを削除すると、PVC が正常に削除されるようになります。

以下のコマンドを実行して各 PVC のファイナライザーを削除し、削除を再試行します。

oc patch pvc <pvc_name> -p '{"metadata":{"finalizers":null}}' -n openshift-logging

$ oc patch pvc <pvc_name> -p '{"metadata":{"finalizers":null}}' -n openshift-logging

Copy to Clipboard

Toggle word wrap

2.4.3. Loki レート制限エラーのトラブルシューティング
リンクのコピー

Log Forwarder API がレート制限を超える大きなメッセージブロックを Loki に転送すると、Loki により、レート制限 (429) エラーが生成されます。

これらのエラーは、通常の動作中に発生する可能性があります。たとえば、すでにいくつかのログがあるクラスターにロギングを追加する場合、ロギングが既存のログエントリーをすべて取り込もうとするとレート制限エラーが発生する可能性があります。この場合、新しいログの追加速度が合計レート制限よりも低い場合、履歴データは最終的に取り込まれ、ユーザーの介入を必要とせずにレート制限エラーが解決されます。

レート制限エラーが引き続き発生する場合は、LokiStack カスタムリソース (CR) を変更することで問題を解決できます。

重要

LokiStack CR は、Grafana がホストする Loki では利用できません。このトピックは、Grafana がホストする Loki サーバーには適用されません。

条件

Log Forwarder API は、ログを Loki に転送するように設定されている。

システムは、次のような 2MB を超えるメッセージのブロックを Loki に送信する。例:

"values":[["1630410392689800468","{\"kind\":\"Event\",\"apiVersion\":\
.......
......
......
......
\"received_at\":\"2021-08-31T11:46:32.800278+00:00\",\"version\":\"1.7.4 1.6.0\"}},\"@timestamp\":\"2021-08-31T11:46:32.799692+00:00\",\"viaq_index_name\":\"audit-write\",\"viaq_msg_id\":\"MzFjYjJkZjItNjY0MC00YWU4LWIwMTEtNGNmM2E5ZmViMGU4\",\"log_type\":\"audit\"}"]]}]}

"values":[["1630410392689800468","{\"kind\":\"Event\",\"apiVersion\":\
.......
......
......
......
\"received_at\":\"2021-08-31T11:46:32.800278+00:00\",\"version\":\"1.7.4 1.6.0\"}},\"@timestamp\":\"2021-08-31T11:46:32.799692+00:00\",\"viaq_index_name\":\"audit-write\",\"viaq_msg_id\":\"MzFjYjJkZjItNjY0MC00YWU4LWIwMTEtNGNmM2E5ZmViMGU4\",\"log_type\":\"audit\"}"]]}]}

Copy to Clipboard

Toggle word wrap

oc logs -n openshift-logging -l component=collector と入力すると、クラスター内のコレクターログに、次のいずれかのエラーメッセージを含む行が表示されます。

429 Too Many Requests Ingestion rate limit exceeded

429 Too Many Requests Ingestion rate limit exceeded

Copy to Clipboard

Toggle word wrap

Vector エラーメッセージの例

2023-08-25T16:08:49.301780Z  WARN sink{component_kind="sink" component_id=default_loki_infra component_type=loki component_name=default_loki_infra}: vector::sinks::util::retries: Retrying after error. error=Server responded with an error: 429 Too Many Requests internal_log_rate_limit=true

2023-08-25T16:08:49.301780Z  WARN sink{component_kind="sink" component_id=default_loki_infra component_type=loki component_name=default_loki_infra}: vector::sinks::util::retries: Retrying after error. error=Server responded with an error: 429 Too Many Requests internal_log_rate_limit=true

Copy to Clipboard

Toggle word wrap

このエラーは受信側にも表示されます。たとえば、LokiStack 取り込み Pod で以下を行います。

Loki 取り込みエラーメッセージの例

level=warn ts=2023-08-30T14:57:34.155592243Z caller=grpc_logging.go:43 duration=1.434942ms method=/logproto.Pusher/Push err="rpc error: code = Code(429) desc = entry with timestamp 2023-08-30 14:57:32.012778399 +0000 UTC ignored, reason: 'Per stream rate limit exceeded (limit: 3MB/sec) while attempting to ingest for stream

level=warn ts=2023-08-30T14:57:34.155592243Z caller=grpc_logging.go:43 duration=1.434942ms method=/logproto.Pusher/Push err="rpc error: code = Code(429) desc = entry with timestamp 2023-08-30 14:57:32.012778399 +0000 UTC ignored, reason: 'Per stream rate limit exceeded (limit: 3MB/sec) while attempting to ingest for stream

Copy to Clipboard

Toggle word wrap

手順

LokiStack CR の ingestionBurstSize および ingestionRate フィールドを更新します。
```
apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
    global:
      ingestion:
        ingestionBurstSize: 16 
        ingestionRate: 8 
# ...
```
```
apiVersion: loki.grafana.com/v1
kind: LokiStack
metadata:
  name: logging-loki
  namespace: openshift-logging
spec:
  limits:
    global:
      ingestion:
        ingestionBurstSize: 16 
```
1
```
        ingestionRate: 8 
```
2
```
# ...
```
Copy to Clipboard Toggle word wrap
1
ingestionBurstSize フィールドは、ディストリビューターレプリカごとに最大ローカルレート制限サンプルサイズを MB 単位で定義します。この値はハードリミットです。この値を、少なくとも 1 つのプッシュリクエストで想定される最大ログサイズに設定します。ingestionBurstSize 値より大きい単一リクエストは使用できません。
2
ingestionRate フィールドは、1 秒あたりに取り込まれるサンプルの最大量 (MB 単位) に対するソフト制限です。ログのレートが制限を超えているにもかかわらず、コレクターがログの送信を再試行すると、レート制限エラーが発生します。合計平均が制限よりも少ない場合に限り、システムは回復し、ユーザーの介入なしでエラーが解決されます。

2.5. ログベースのアラート
リンクのコピー

2.5.1. LokiStack ルールの RBAC 権限の認可
リンクのコピー

管理者は、クラスターロールをユーザー名にバインドすることで、ユーザーが独自のアラートおよび記録ルールを作成および管理できるようにすることができます。クラスターロールは、ユーザーに必要なロールベースのアクセス制御 (RBAC) 権限を含む ClusterRole オブジェクトとして定義されます。

LokiStack では、アラートおよび記録ルール用の次のクラスターロールが利用できます。

Expand

ルール名	説明
`alertingrules.loki.grafana.com-v1-admin`	このロールを持つユーザーは、アラートルールを管理する管理レベルのアクセス権を持ちます。このクラスターロールは、`loki.grafana.com/v1` API グループ内の `AlertingRule` リソースを作成、読み取り、更新、削除、リスト表示、および監視する権限を付与します。
`alertingrules.loki.grafana.com-v1-crdview`	このロールを持つユーザーは、`loki.grafana.com/v1` API グループ内の `AlertingRule` リソースに関連するカスタムリソース定義 (CRD) の定義を表示できますが、これらのリソースを変更または管理する権限を持ちません。
`alertingrules.loki.grafana.com-v1-edit`	このロールを持つユーザーは、`AlertingRule` リソースを作成、更新、および削除する権限を持ちます。
`alertingrules.loki.grafana.com-v1-view`	このロールを持つユーザーは、`loki.grafana.com/v1` API グループ内の `AlertingRule` リソースを読み取ることができます。既存のアラートルールの設定、ラベル、およびアノテーションを検査できますが、それらを変更することはできません。
`recordingrules.loki.grafana.com-v1-admin`	このロールを持つユーザーは、記録ルールを管理する管理レベルのアクセス権を持ちます。このクラスターロールは、`loki.grafana.com/v1` API グループ内の `RecordingRule` リソースを作成、読み取り、更新、削除、リスト表示、および監視する権限を付与します。
`recordingrules.loki.grafana.com-v1-crdview`	このロールを持つユーザーは、`loki.grafana.com/v1` API グループ内の `RecordingRule` リソースに関連するカスタムリソース定義 (CRD) の定義を表示できますが、これらのリソースを変更または管理する権限を持ちません。
`recordingrules.loki.grafana.com-v1-edit`	このロールを持つユーザーは、`RecordingRule` リソースを作成、更新、および削除する権限を持ちます。
`recordingrules.loki.grafana.com-v1-view`	このロールを持つユーザーは、`loki.grafana.com/v1` API グループ内の `RecordingRule` リソースを読み取ることができます。既存のアラートルールの設定、ラベル、およびアノテーションを検査できますが、それらを変更することはできません。

2.5.1.1. 例
リンクのコピー

ユーザーにクラスターロールを適用するには、既存のクラスターロールを特定のユーザー名にバインドする必要があります。

クラスターロールは、使用するロールバインディングの種類に応じて、クラスタースコープまたは namespace スコープにすることができます。RoleBinding オブジェクトを使用する場合は、oc adm policy add-role-to-user コマンドを使用する場合と同様に、クラスターロールが指定した namespace にのみ適用されます。ClusterRoleBinding オブジェクトを使用する場合は、oc adm policy add-cluster-role-to-user コマンドを使用する場合と同様に、クラスターロールがクラスター内のすべての namespace に適用されます。

次のコマンド例では、指定したユーザーに、クラスター内の特定の namespace のアラートルールに対する作成、読み取り、更新、および削除 (CRUD) 権限を付与します。

特定の namespace のアラートルールに対する CRUD 権限を付与するクラスターロールバインディングコマンドの例

oc adm policy add-role-to-user alertingrules.loki.grafana.com-v1-admin -n <namespace> <username>

$ oc adm policy add-role-to-user alertingrules.loki.grafana.com-v1-admin -n <namespace> <username>

Copy to Clipboard

Toggle word wrap

次のコマンドは、指定したユーザーに、すべての namespace のアラートルールに対する管理者権限を付与します。

管理者権限を付与するクラスターロールバインディングコマンドの例

oc adm policy add-cluster-role-to-user alertingrules.loki.grafana.com-v1-admin <username>

$ oc adm policy add-cluster-role-to-user alertingrules.loki.grafana.com-v1-admin <username>

Copy to Clipboard

Toggle word wrap

2.5.2. Loki を使用したログベースのアラートルールの作成
リンクのコピー

AlertingRule CR には、単一の LokiStack インスタンスのアラートルールグループを宣言するために使用する、仕様および Webhook 検証定義のセットが含まれます。Webhook 検証定義は、ルール検証条件もサポートします。

AlertingRule CR に無効な interval 期間が含まれる場合、無効なアラートルールです。
AlertingRule CR に無効な for 期間が含まれる場合、無効なアラートルールです。
AlertingRule CR に無効な LogQL expr が含まれる場合、無効なアラートルールです。
AlertingRule CR に同じ名前のグループが 2 つ含まれる場合、無効なアラートルールです。
上記のいずれも該当しない場合、アラートルールは有効とみなされます。

Expand

表2.3 AlertingRule の定義
テナントタイプ	`AlertingRule` CR の有効な namespace
application	`<your_application_namespace>`
audit	`openshift-logging`
infrastructure	`openshift-/`、`kube-/\`、`default`

手順

AlertingRule カスタムリソース (CR) を作成します。

インフラストラクチャー AlertingRule CR の例

  apiVersion: loki.grafana.com/v1
  kind: AlertingRule
  metadata:
    name: loki-operator-alerts
    namespace: openshift-operators-redhat 
    labels: 
      openshift.io/<label_name>: "true"
  spec:
    tenantID: "infrastructure" 
    groups:
      - name: LokiOperatorHighReconciliationError
        rules:
          - alert: HighPercentageError
            expr: | 
              sum(rate({kubernetes_namespace_name="openshift-operators-redhat", kubernetes_pod_name=~"loki-operator-controller-manager.*"} |= "error" [1m])) by (job)
                /
              sum(rate({kubernetes_namespace_name="openshift-operators-redhat", kubernetes_pod_name=~"loki-operator-controller-manager.*"}[1m])) by (job)
                > 0.01
            for: 10s
            labels:
              severity: critical 
            annotations:
              summary: High Loki Operator Reconciliation Errors 
              description: High Loki Operator Reconciliation Errors

  apiVersion: loki.grafana.com/v1
  kind: AlertingRule
  metadata:
    name: loki-operator-alerts
    namespace: openshift-operators-redhat


    labels:


      openshift.io/<label_name>: "true"
  spec:
    tenantID: "infrastructure"


    groups:
      - name: LokiOperatorHighReconciliationError
        rules:
          - alert: HighPercentageError
            expr: |


              sum(rate({kubernetes_namespace_name="openshift-operators-redhat", kubernetes_pod_name=~"loki-operator-controller-manager.*"} |= "error" [1m])) by (job)
                /
              sum(rate({kubernetes_namespace_name="openshift-operators-redhat", kubernetes_pod_name=~"loki-operator-controller-manager.*"}[1m])) by (job)
                > 0.01
            for: 10s
            labels:
              severity: critical


            annotations:
              summary: High Loki Operator Reconciliation Errors


              description: High Loki Operator Reconciliation Errors

Copy to Clipboard

Toggle word wrap

1: この AlertingRule CR が作成される namespace には、LokiStack spec.rules.namespaceSelector 定義に一致するラベルが必要です。
2: labels ブロックは、LokiStack の spec.rules.selector 定義と一致する必要があります。
3: infrastructure テナントの AlertingRule CR は、openshift-*、kube-\*、または default namespaces でのみサポートされます。
4: kubernetes_namespace_name: の値は、metadata.namespace の値と一致する必要があります。
5: この必須フィールドの値は、critical、warning、または info である必要があります。
6: このフィールドは必須です。
7: このフィールドは必須です。

アプリケーション AlertingRule CR の例

  apiVersion: loki.grafana.com/v1
  kind: AlertingRule
  metadata:
    name: app-user-workload
    namespace: app-ns 
    labels: 
      openshift.io/<label_name>: "true"
  spec:
    tenantID: "application"
    groups:
      - name: AppUserWorkloadHighError
        rules:
          - alert:
            expr: | 
              sum(rate({kubernetes_namespace_name="app-ns", kubernetes_pod_name=~"podName.*"} |= "error" [1m])) by (job)
            for: 10s
            labels:
              severity: critical 
            annotations:
              summary:  
              description:

  apiVersion: loki.grafana.com/v1
  kind: AlertingRule
  metadata:
    name: app-user-workload
    namespace: app-ns


    labels:


      openshift.io/<label_name>: "true"
  spec:
    tenantID: "application"
    groups:
      - name: AppUserWorkloadHighError
        rules:
          - alert:
            expr: |


              sum(rate({kubernetes_namespace_name="app-ns", kubernetes_pod_name=~"podName.*"} |= "error" [1m])) by (job)
            for: 10s
            labels:
              severity: critical


            annotations:
              summary:


              description:

Copy to Clipboard

Toggle word wrap

1: この AlertingRule CR が作成される namespace には、LokiStack spec.rules.namespaceSelector 定義に一致するラベルが必要です。
2: labels ブロックは、LokiStack の spec.rules.selector 定義と一致する必要があります。
3: kubernetes_namespace_name: の値は、metadata.namespace の値と一致する必要があります。
4: この必須フィールドの値は、critical、warning、または info である必要があります。
5: この必須フィールドの値は、ルールの概要です。
6: この必須フィールドの値は、ルールの詳細な説明です。

AlertingRule CR を適用します。
```
oc apply -f <filename>.yaml
```
```
$ oc apply -f <filename>.yaml
```
Copy to Clipboard Toggle word wrap

第3章 Loki での OTLP データ取り込み
リンクのコピー

Logging では、OpenTelemetry Protocol (OTLP) を使用して、API エンドポイントを使用できます。OTLP は Loki 専用に設計されたものではない標準化された形式です。そのため、OpenTelemetry のデータ形式を Loki のデータモデルにマッピングするには、追加の Loki 設定が必要です。OTLP には、ストリームラベル や 構造化メタデータ などの概念がありません。代わりに、OTLP はログエントリーに関するメタデータを、次の 3 つのカテゴリーにグループ化された属性として提供します。

リソース
スコープ
ログ

必要に応じて、複数のエントリーのメタデータを同時に、または個別に設定できます。

3.1. OTLP データ取り込み用の LokiStack 設定
リンクのコピー

重要

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

OTLP 取り込み用に LokiStack カスタムリソース (CR) を設定するには、次の手順に従います。

前提条件

Loki セットアップが、OTLP ログの取り込みを有効にするためにスキーマバージョン 13 で導入された構造化メタデータをサポートしていることを確認します。

手順

スキーマバージョンを設定します。
- 新しい LokiStack CR を作成する場合は、ストレージスキーマ設定で version: v13 を設定します。
  注記
  既存の設定の場合は、version: v13 と現在より後の effectiveDate を持つ新しいスキーマエントリーを追加します。スキーマバージョンの更新の詳細は、Upgrading Schemas (Grafana ドキュメント) を参照してください。
ストレージスキーマを次のように設定します。
ストレージスキーマの設定例
```
# ...
spec:
  storage:
    schemas:
    - version: v13
      effectiveDate: 2024-10-25
```
```
# ...
spec:
  storage:
    schemas:
    - version: v13
      effectiveDate: 2024-10-25
```
Copy to Clipboard Toggle word wrap
effectiveDate を過ぎると v13 スキーマが有効になり、LokiStack は構造化メタデータを保存できるようになります。

3.2. 属性マッピング
リンクのコピー

Loki Operator を openshift-logging モードに設定すると、Loki Operator がデフォルトの属性マッピングのセットを自動的に適用します。このマッピングは、特定の OTLP 属性を、Loki のストリームラベルおよび構造化メタデータに対応付けるものです。

一般的なセットアップでは、このようなデフォルトのマッピングで十分です。ただし、次の場合には属性マッピングをカスタマイズする必要があることもあります。

カスタムコレクターの使用: 保存する必要がない追加の属性を生成するカスタムコレクターがセットアップに含まれている場合は、マッピングをカスタマイズして、その属性が Loki によって削除されるようにすることを検討してください。
属性の詳細レベルを調整する場合: デフォルトの属性セットが必要以上に詳細な場合は、必須の属性のみに減らすことができます。そうすることで、過剰なデータ保存を回避し、ロギングプロセスを合理化できます。

3.2.1. OpenShift のカスタム属性マッピング
リンクのコピー

Loki Operator を openshift-logging モードで使用する場合、属性マッピングは OpenShift のデフォルト値に従います。ただし、カスタムマッピングを設定すると、デフォルト値を調整できます。openshift-logging モードでは、必要に応じて、カスタム属性マッピングをすべてのテナントに対してグローバルに設定することも、個々のテナントに対して設定することもできます。カスタムマッピングを定義すると、そのカスタムマッピングが OpenShift のデフォルト値に追加されます。デフォルトのラベルが必要ない場合は、テナント設定で無効にできます。

注記

Loki Operator と Loki の主な違いは、継承の処理にあります。Loki はデフォルトで default_resource_attributes_as_index_labels のみをテナントにコピーします。Loki Operator は openshift-logging モードで各テナントにグローバル設定全体を適用します。

LokiStack 内では、属性マッピング設定は limits 設定を通じて管理されます。次の LokiStack 設定の例を参照してください。

# ...
spec:
  limits:
    global:
      otlp: {} 
    tenants:
      application:
        otlp: {}

# ...
spec:
  limits:
    global:
      otlp: {}


    tenants:
      application:
        otlp: {}

Copy to Clipboard

Toggle word wrap

1: グローバルの OTLP 属性設定を定義します。
2: openshift-logging モード内で application テナントの OTLP 属性設定を定義します。application テナントに加えて、infrastructure テナントや audit テナントを設定することもできます。

注記

属性をストリームラベルにマッピングするには、グローバルの OTLP 設定とテナントごとの OTLP 設定の両方を使用できます。

ストリームラベルはリソースレベルの属性からのみ導出されます。これは LokiStack のリソース構造に反映されています。次の LokiStack 設定の例を参照してください。

spec:
  limits:
    global:
      otlp:
        streamLabels:
          resourceAttributes:
          - name: "k8s.namespace.name"
          - name: "k8s.pod.name"
          - name: "k8s.container.name"

spec:
  limits:
    global:
      otlp:
        streamLabels:
          resourceAttributes:
          - name: "k8s.namespace.name"
          - name: "k8s.pod.name"
          - name: "k8s.container.name"

Copy to Clipboard

Toggle word wrap

ログエントリーから、リソース、スコープ、またはログタイプの属性を削除できます。

# ...
spec:
  limits:
    global:
      otlp:
        streamLabels:
# ...
        drop:
          resourceAttributes:
          - name: "process.command_line"
          - name: "k8s\\.pod\\.labels\\..+"
            regex: true
          scopeAttributes:
          - name: "service.name"
          logAttributes:
          - name: "http.route"

# ...
spec:
  limits:
    global:
      otlp:
        streamLabels:
# ...
        drop:
          resourceAttributes:
          - name: "process.command_line"
          - name: "k8s\\.pod\\.labels\\..+"
            regex: true
          scopeAttributes:
          - name: "service.name"
          logAttributes:
          - name: "http.route"

Copy to Clipboard

Toggle word wrap

regex: true を設定することで正規表現を使用し、類似した名前を持つ属性に設定を適用できます。

重要

データ量が増加する可能性があるため、ストリームラベルに正規表現を使用することは避けてください。

ストリームラベルとして明示的に設定されていない属性、またはエントリーから削除されていない属性は、デフォルトで構造化メタデータとして保存されます。

3.2.2. OpenShift のデフォルトのカスタマイズ
リンクのコピー

openshift-logging モードでは特定の属性が必須です。この属性は、OpenShift の機能における役割があるため、設定から削除できません。推奨ラベルが付いたその他の属性は、パフォーマンスに影響がある場合、削除できます。属性の詳細は、OpenTelemetry データモデル属性を参照してください。

カスタム属性なしで openshift-logging モードを使用すると、即座に OpenShift ツールとの互換性が確保されます。ストリームラベルとして追加の属性が必要な場合、または一部の属性を破棄する必要がある場合は、カスタム設定を使用します。カスタム設定はデフォルト設定とマージできます。

3.2.3. 推奨属性の削除
リンクのコピー

openshift-logging モードでデフォルト属性を減らすには、推奨属性を無効にします。

# ...
spec:
  tenants:
    mode: openshift-logging
    openshift:
      otlp:
        disableRecommendedAttributes: true

# ...
spec:
  tenants:
    mode: openshift-logging
    openshift:
      otlp:
        disableRecommendedAttributes: true

Copy to Clipboard

Toggle word wrap

1: 推奨属性を削除するには、disableRecommendedAttributes: true を設定します。これにより、デフォルトの属性が必須属性またはストリームラベルに制限されます。
注記
この設定により、デフォルトのストリームラベルが削除されるため、クエリーのパフォーマンスに悪影響が及ぶ可能性があります。クエリーに不可欠な属性を保持するためには、このオプションをカスタム属性設定と組み合わせる必要があります。

第4章 OpenTelemetry データモデル
リンクのコピー

このドキュメントでは、Red Hat OpenShift Logging における OpenTelemetry サポートのプロトコルとセマンティック規約について概説します。

重要

OpenTelemetry Protocol (OTLP) 出力ログフォワーダーは、テクノロジープレビューのみの機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

4.1. 転送および取り込みプロトコル
リンクのコピー

Red Hat OpenShift Logging は、OTLP 仕様を使用してログを収集し、OpenTelemetry エンドポイントに転送します。OTLP はテレメトリーデータをエンコード、転送、配信します。ログストリームを取り込むための OTLP エンドポイントを提供する Loki ストレージをデプロイすることもできます。このドキュメントでは、さまざまな OpenShift クラスターソースから収集されたログのセマンティック規約を定義します。

4.2. セマンティック規約
リンクのコピー

このソリューションのログコレクターは、次のログストリームを収集します。

コンテナーログ
クラスターノードジャーナルログ
クラスターノード監査ログ
Kubernetes および OpenShift API サーバーログ
OpenShift Virtual Network (OVN) ログ

これらのストリームは、OpenTelemetry セマンティック属性によって定義されたセマンティック規約に従って転送できます。OpenTelemetry のセマンティック規約では、リソースを属性によって識別される、テレメトリーを生成するエンティティーのイミュータブルな表現と定義しています。たとえばコンテナー内で実行されているプロセスには、container_name、cluster_id、pod_name、namespace などの属性が含まれ、場合によっては deployment または app_name も含まれます。これらの属性はリソースオブジェクトの下にグループ化されており、繰り返しを減らし、テレメトリーデータとしてのログ送信を最適化するのに役立ちます。

ログには、リソース属性に加え、計装ライブラリーに固有のスコープ属性と、各ログエントリーに固有のログ属性も含まれる場合があります。これらの属性は、各ログエントリーに関するより詳細な情報を提供し、ストレージ内のログをクエリーする際のフィルタリング機能を強化します。

次のセクションでは、一般的に転送される属性を定義しています。

4.2.1. ログエントリー構造
リンクのコピー

すべてのログストリームには、次のログデータフィールドが含まれます。

適用可能ソース 列は、各フィールドに適用するログソースを示しています。

all: このフィールドは、すべてのログに存在します。
container: このフィールドは、アプリケーションとインフラストラクチャーの両方の Kubernetes コンテナーログに存在します。
audit: このフィールドは、Kubernetes ログ、OpenShift API ログ、OVN ログに存在します。
auditd: このフィールドは、ノード監査ログに存在します。
journal: このフィールドは、ノードジャーナルログに存在します。

Expand

名前	適用可能ソース	コメント
`body`	all
`observedTimeUnixNano`	all
`timeUnixNano`	all
`severityText`	container、journal
`attributes`	all	(オプション) ストリーム固有の属性を転送する場合に存在します

4.2.2. 属性
リンクのコピー

次の表に示すとおり、ログエントリーにはソースに基づくリソース属性、スコープ属性、ログ属性のセットが含まれます。

ロケーション 列は属性のタイプを示しています。

resource: リソース属性を示します
scope: スコープ属性を示します
log: ログ属性を示します

ストレージ 列は、属性がデフォルトの openshift-logging モードを使用して LokiStack に保存されているか、および保存場所を示しています。

stream label:
- 特定のラベルに基づく効率的なフィルタリングとクエリーを可能にします。
- Loki Operator が設定でこの属性を強制する場合は、required としてラベル付けできます。
structured metadata:
- キーと値のペアの詳細なフィルタリングと保存を可能にします。
- JSON 解析を使用することなく、合理化されたクエリーに直接ラベルを使用できるようになります。

OTLP を使用すると、ユーザーは JSON 解析を使用するのではなく、ラベルで直接クエリーをフィルタリングできるため、クエリーの速度と効率が向上します。

Expand

名前	Location	適用可能ソース	ストレージ (LokiStack)	コメント
`log_source`	resource	all	required stream label	(非推奨) 互換性属性。`openshift.log.source` と同じ情報が含まれます。
`log_type`	resource	all	required stream label	(非推奨) 互換性属性。`openshift.log.type` と同じ情報が含まれます。
`kubernetes.container_name`	resource	container	stream label	(非推奨) 互換性属性。`k8s.container.name` と同じ情報が含まれます。
`kubernetes.host`	resource	all	stream label	(非推奨) 互換性属性。`k8s.node.name` と同じ情報が含まれます。
`kubernetes.namespace_name`	resource	container	required stream label	(非推奨) 互換性属性。`k8s.namespace.name` と同じ情報が含まれます。
`kubernetes.pod_name`	resource	container	stream label	(非推奨) 互換性属性。`k8s.pod.name` と同じ情報が含まれます。
`openshift.cluster_id`	resource	all		(非推奨) 互換性属性。`openshift.cluster.uid` と同じ情報が含まれます。
`level`	log	container、journal		(非推奨) 互換性属性。`severityText` と同じ情報が含まれます。
`openshift.cluster.uid`	resource	all	required stream label
`openshift.log.source`	resource	all	required stream label
`openshift.log.type`	resource	all	required stream label
`openshift.labels.*`	resource	all	structured metadata
`k8s.node.name`	resource	all	stream label
`k8s.namespace.name`	resource	container	required stream label
`k8s.container.name`	resource	container	stream label
`k8s.pod.labels.*`	resource	container	structured metadata
`k8s.pod.name`	resource	container	stream label
`k8s.pod.uid`	resource	container	structured metadata
`k8s.cronjob.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`k8s.daemonset.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`k8s.deployment.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`k8s.job.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`k8s.replicaset.name`	resource	container	structured metadata	Pod 作成者に基づき条件付きで転送されます
`k8s.statefulset.name`	resource	container	stream label	Pod 作成者に基づき条件付きで転送されます
`log.iostream`	log	container	structured metadata
`k8s.audit.event.level`	log	audit	structured metadata
`k8s.audit.event.stage`	log	audit	structured metadata
`k8s.audit.event.user_agent`	log	audit	structured metadata
`k8s.audit.event.request.uri`	log	audit	structured metadata
`k8s.audit.event.response.code`	log	audit	structured metadata
`k8s.audit.event.annotation.*`	log	audit	structured metadata
`k8s.audit.event.object_ref.resource`	log	audit	structured metadata
`k8s.audit.event.object_ref.name`	log	audit	structured metadata
`k8s.audit.event.object_ref.namespace`	log	audit	structured metadata
`k8s.audit.event.object_ref.api_group`	log	audit	structured metadata
`k8s.audit.event.object_ref.api_version`	log	audit	structured metadata
`k8s.user.username`	log	audit	structured metadata
`k8s.user.groups`	log	audit	structured metadata
`process.executable.name`	resource	journal	structured metadata
`process.executable.path`	resource	journal	structured metadata
`process.command_line`	resource	journal	structured metadata
`process.pid`	resource	journal	structured metadata
`service.name`	resource	journal	stream label
`systemd.t.*`	log	journal	structured metadata
`systemd.u.*`	log	journal	structured metadata

注記

互換性属性 としてマークされた属性は、ViaQ データモデルとの最小限の下位互換性をサポートします。これらは非推奨の属性であり、UI 機能の継続を保証するための互換性レイヤーとして機能します。これらの属性は、Logging UI が今後のリリースにおける OpenTelemetry 対応機能を完全にサポートするまで引き続きサポートされます。

Loki は、ストレージへの保存時に属性名を変更します。名前は小文字になり、セット内のすべての文字 (.、/、-) はアンダースコア (_) に置き換えられます。たとえば、k8s.namespace.name は k8s_namespace_name になります。

法律上の通知
リンクのコピー

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

トップに戻る

ロギングの設定

ログ転送と LokiStack を設定します。

第1章 ログ転送の設定リンクのコピーリンクがクリップボードにコピーされました!

1.1. ログ収集のセットアップリンクのコピーリンクがクリップボードにコピーされました!

1.1.1. レガシーサービスアカウントリンクのコピーリンクがクリップボードにコピーされました!

1.1.2. サービスアカウントの作成リンクのコピーリンクがクリップボードにコピーされました!

1.1.2.1. サービスアカウントのクラスターロールバインディングリンクのコピーリンクがクリップボードにコピーされました!

1.1.2.2. アプリケーションログの書き込みリンクのコピーリンクがクリップボードにコピーされました!

1.1.2.3. 監査ログの書き込みリンクのコピーリンクがクリップボードにコピーされました!

1.1.2.4. インフラストラクチャーログの書き込みリンクのコピーリンクがクリップボードにコピーされました!

1.1.2.5. ClusterLogForwarder 編集者ロールリンクのコピーリンクがクリップボードにコピーされました!

1.2. コレクターのログレベルの変更リンクのコピーリンクがクリップボードにコピーされました!

1.3. Operator の管理リンクのコピーリンクがクリップボードにコピーされました!

1.4. ClusterLogForwarder の構造リンクのコピーリンクがクリップボードにコピーされました!

1.4.1. Inputsリンクのコピーリンクがクリップボードにコピーされました!

1.4.2. 出力リンクのコピーリンクがクリップボードにコピーされました!

1.4.3. OTLP 出力の設定リンクのコピーリンクがクリップボードにコピーされました!

1.4.4. Pipelinesリンクのコピーリンクがクリップボードにコピーされました!

1.4.5. Filtersリンクのコピーリンクがクリップボードにコピーされました!

1.4.6. 複数行の例外検出の有効化リンクのコピーリンクがクリップボードにコピーされました!

1.4.6.1. 詳細リンクのコピーリンクがクリップボードにコピーされました!

1.4.7. HTTP 経由でのログ転送リンクのコピーリンクがクリップボードにコピーされました!

1.4.8. syslog プロトコルを使用したログの転送リンクのコピーリンクがクリップボードにコピーされました!

1.4.8.1. メッセージ出力へのログソース情報の追加リンクのコピーリンクがクリップボードにコピーされました!

1.5. STS 対応クラスターから Amazon CloudWatch へログを転送するリンクのコピーリンクがクリップボードにコピーされました!

1.5.1. AWS IAM ロールの作成リンクのコピーリンクがクリップボードにコピーされました!

1.5.2. 既存の AWS ロールを使用した AWS CloudWatch のシークレット作成リンクのコピーリンクがクリップボードにコピーされました!

1.5.3. STS 対応クラスターから Amazon CloudWatch へログを転送するリンクのコピーリンクがクリップボードにコピーされました!

1.5.4. 不要なログレコードを削除するコンテンツフィルターの設定リンクのコピーリンクがクリップボードにコピーされました!

1.5.5. API 監査フィルターの概要リンクのコピーリンクがクリップボードにコピーされました!

1.5.6. ラベル式または一致するラベルキーと値を含む入力時でのアプリケーションログのフィルタリングリンクのコピーリンクがクリップボードにコピーされました!

1.5.7. ログレコードをプルーニングするコンテンツフィルターの設定リンクのコピーリンクがクリップボードにコピーされました!

1.6. ソースによる監査およびインフラストラクチャーログ入力のフィルタリングリンクのコピーリンクがクリップボードにコピーされました!

1.7. namespace またはコンテナー名を含めるか除外して入力時にアプリケーションログをフィルタリングする手順リンクのコピーリンクがクリップボードにコピーされました!

第2章 ログストアの設定リンクのコピーリンクがクリップボードにコピーされました!

2.1. Loki デプロイメントのサイズリンクのコピーリンクがクリップボードにコピーされました!

2.2. Loki オブジェクトストレージリンクのコピーリンクがクリップボードにコピーされました!

2.2.1. AWS ストレージリンクのコピーリンクがクリップボードにコピーされました!

2.2.1.1. STS 対応クラスターの AWS ストレージリンクのコピーリンクがクリップボードにコピーされました!

2.2.2. Azure ストレージリンクのコピーリンクがクリップボードにコピーされました!

2.2.2.1. Microsoft Entra Workload ID 対応クラスター用の Azure ストレージリンクのコピーリンクがクリップボードにコピーされました!

2.2.3. Google Cloud Platform ストレージリンクのコピーリンクがクリップボードにコピーされました!

2.2.4. Minio ストレージリンクのコピーリンクがクリップボードにコピーされました!

2.2.5. OpenShift Data Foundation ストレージリンクのコピーリンクがクリップボードにコピーされました!

2.2.6. Swift ストレージ:リンクのコピーリンクがクリップボードにコピーされました!

2.2.7. 短期認証情報を使用するクラスターに Loki ログストアのデプロイリンクのコピーリンクがクリップボードにコピーされました!

2.2.7.1. クラウドベースのログストアにアクセスするために Workload Identity Federation で認証するリンクのコピーリンクがクリップボードにコピーされました!

2.2.7.2. Web コンソールを使用して LokiStack カスタムリソースを作成するリンクのコピーリンクがクリップボードにコピーされました!

2.2.7.3. CLI を使用して Loki オブジェクトストレージのシークレットを作成するリンクのコピーリンクがクリップボードにコピーされました!

2.2.8. Loki ログへのアクセスの詳細設定リンクのコピーリンクがクリップボードにコピーされました!

2.2.8.1. クラスター全体のアクセスリンクのコピーリンクがクリップボードにコピーされました!

2.2.8.2. namespace アクセスリンクのコピーリンクがクリップボードにコピーされました!

2.2.8.3. カスタム管理者グループのアクセス権リンクのコピーリンクがクリップボードにコピーされました!

2.2.9. cluster-admin ユーザーロールの新規グループの作成リンクのコピーリンクがクリップボードにコピーされました!

2.3. 信頼性とパフォーマンスの向上リンクのコピーリンクがクリップボードにコピーされました!

2.3.1. Loki Pod の配置リンクのコピーリンクがクリップボードにコピーされました!

2.3.2. ノードの障害を許容するための Loki の設定リンクのコピーリンクがクリップボードにコピーされました!

2.3.3. Loki でストリームベースの保持の有効化リンクのコピーリンクがクリップボードにコピーされました!

2.3.4. メンバーリストの作成の失敗を許容する Loki の設定リンクのコピーリンクがクリップボードにコピーされました!

2.3.5. クラスターの再起動中の LokiStack 動作リンクのコピーリンクがクリップボードにコピーされました!

2.4. 高度なデプロイメントとスケーラビリティーリンクのコピーリンクがクリップボードにコピーされました!

2.4.1. ゾーン対応のデータレプリケーションリンクのコピーリンクがクリップボードにコピーされました!

2.4.2. 障害が発生したゾーンからの Loki Pod の回復リンクのコピーリンクがクリップボードにコピーされました!

2.4.2.1. terminating 状態の PVC のトラブルシューティングリンクのコピーリンクがクリップボードにコピーされました!

2.4.3. Loki レート制限エラーのトラブルシューティングリンクのコピーリンクがクリップボードにコピーされました!

2.5. ログベースのアラートリンクのコピーリンクがクリップボードにコピーされました!

2.5.1. LokiStack ルールの RBAC 権限の認可リンクのコピーリンクがクリップボードにコピーされました!

2.5.1.1. 例リンクのコピーリンクがクリップボードにコピーされました!

2.5.2. Loki を使用したログベースのアラートルールの作成リンクのコピーリンクがクリップボードにコピーされました!

第3章 Loki での OTLP データ取り込みリンクのコピーリンクがクリップボードにコピーされました!

3.1. OTLP データ取り込み用の LokiStack 設定リンクのコピーリンクがクリップボードにコピーされました!

3.2. 属性マッピングリンクのコピーリンクがクリップボードにコピーされました!

3.2.1. OpenShift のカスタム属性マッピングリンクのコピーリンクがクリップボードにコピーされました!

3.2.2. OpenShift のデフォルトのカスタマイズリンクのコピーリンクがクリップボードにコピーされました!

3.2.3. 推奨属性の削除リンクのコピーリンクがクリップボードにコピーされました!

第4章 OpenTelemetry データモデルリンクのコピーリンクがクリップボードにコピーされました!

4.1. 転送および取り込みプロトコルリンクのコピーリンクがクリップボードにコピーされました!

4.2. セマンティック規約リンクのコピーリンクがクリップボードにコピーされました!

4.2.1. ログエントリー構造リンクのコピーリンクがクリップボードにコピーされました!

4.2.2. 属性リンクのコピーリンクがクリップボードにコピーされました!

第1章ログ転送の設定
リンクのコピー

1.1. ログ収集のセットアップ
リンクのコピー

1.1.1. レガシーサービスアカウント
リンクのコピー

1.1.2. サービスアカウントの作成
リンクのコピー

1.1.2.1. サービスアカウントのクラスターロールバインディング
リンクのコピー

1.1.2.2. アプリケーションログの書き込み
リンクのコピー

1.1.2.3. 監査ログの書き込み
リンクのコピー

1.1.2.4. インフラストラクチャーログの書き込み
リンクのコピー

1.1.2.5. ClusterLogForwarder 編集者ロール
リンクのコピー

1.2. コレクターのログレベルの変更
リンクのコピー

1.3. Operator の管理
リンクのコピー

1.4. ClusterLogForwarder の構造
リンクのコピー

1.4.1. Inputs
リンクのコピー

1.4.2. 出力
リンクのコピー

1.4.3. OTLP 出力の設定
リンクのコピー

1.4.4. Pipelines
リンクのコピー

1.4.5. Filters
リンクのコピー

1.4.6. 複数行の例外検出の有効化
リンクのコピー

1.4.6.1. 詳細
リンクのコピー

1.4.7. HTTP 経由でのログ転送
リンクのコピー

1.4.8. syslog プロトコルを使用したログの転送
リンクのコピー

1.4.8.1. メッセージ出力へのログソース情報の追加
リンクのコピー

1.5. STS 対応クラスターから Amazon CloudWatch へログを転送する
リンクのコピー

1.5.1. AWS IAM ロールの作成
リンクのコピー

1.5.2. 既存の AWS ロールを使用した AWS CloudWatch のシークレット作成
リンクのコピー

1.5.3. STS 対応クラスターから Amazon CloudWatch へログを転送する
リンクのコピー

1.5.4. 不要なログレコードを削除するコンテンツフィルターの設定
リンクのコピー

1.5.5. API 監査フィルターの概要
リンクのコピー

1.5.6. ラベル式または一致するラベルキーと値を含む入力時でのアプリケーションログのフィルタリング
リンクのコピー

1.5.7. ログレコードをプルーニングするコンテンツフィルターの設定
リンクのコピー

1.6. ソースによる監査およびインフラストラクチャーログ入力のフィルタリング
リンクのコピー

1.7. namespace またはコンテナー名を含めるか除外して入力時にアプリケーションログをフィルタリングする手順
リンクのコピー

第2章ログストアの設定
リンクのコピー

2.1. Loki デプロイメントのサイズ
リンクのコピー

2.2. Loki オブジェクトストレージ
リンクのコピー

2.2.1. AWS ストレージ
リンクのコピー

2.2.1.1. STS 対応クラスターの AWS ストレージ
リンクのコピー

2.2.2. Azure ストレージ
リンクのコピー

2.2.2.1. Microsoft Entra Workload ID 対応クラスター用の Azure ストレージ
リンクのコピー

2.2.3. Google Cloud Platform ストレージ
リンクのコピー

2.2.4. Minio ストレージ
リンクのコピー

2.2.5. OpenShift Data Foundation ストレージ
リンクのコピー

2.2.6. Swift ストレージ:
リンクのコピー

2.2.7. 短期認証情報を使用するクラスターに Loki ログストアのデプロイ
リンクのコピー

2.2.7.1. クラウドベースのログストアにアクセスするために Workload Identity Federation で認証する
リンクのコピー

2.2.7.2. Web コンソールを使用して LokiStack カスタムリソースを作成する
リンクのコピー

2.2.7.3. CLI を使用して Loki オブジェクトストレージのシークレットを作成する
リンクのコピー

2.2.8. Loki ログへのアクセスの詳細設定
リンクのコピー

2.2.8.1. クラスター全体のアクセス
リンクのコピー

2.2.8.2. namespace アクセス
リンクのコピー

2.2.8.3. カスタム管理者グループのアクセス権
リンクのコピー

2.2.9. cluster-admin ユーザーロールの新規グループの作成
リンクのコピー

2.3. 信頼性とパフォーマンスの向上
リンクのコピー

2.3.1. Loki Pod の配置
リンクのコピー

2.3.2. ノードの障害を許容するための Loki の設定
リンクのコピー

2.3.3. Loki でストリームベースの保持の有効化
リンクのコピー

2.3.4. メンバーリストの作成の失敗を許容する Loki の設定
リンクのコピー

2.3.5. クラスターの再起動中の LokiStack 動作
リンクのコピー

2.4. 高度なデプロイメントとスケーラビリティー
リンクのコピー

2.4.1. ゾーン対応のデータレプリケーション
リンクのコピー

2.4.2. 障害が発生したゾーンからの Loki Pod の回復
リンクのコピー

2.4.2.1. terminating 状態の PVC のトラブルシューティング
リンクのコピー

2.4.3. Loki レート制限エラーのトラブルシューティング
リンクのコピー

2.5. ログベースのアラート
リンクのコピー

2.5.1. LokiStack ルールの RBAC 権限の認可
リンクのコピー

2.5.1.1. 例
リンクのコピー

2.5.2. Loki を使用したログベースのアラートルールの作成
リンクのコピー

第3章 Loki での OTLP データ取り込み
リンクのコピー

3.1. OTLP データ取り込み用の LokiStack 設定
リンクのコピー

3.2. 属性マッピング
リンクのコピー

3.2.1. OpenShift のカスタム属性マッピング
リンクのコピー

3.2.2. OpenShift のデフォルトのカスタマイズ
リンクのコピー

3.2.3. 推奨属性の削除
リンクのコピー

第4章 OpenTelemetry データモデル
リンクのコピー

4.1. 転送および取り込みプロトコル
リンクのコピー

4.2. セマンティック規約
リンクのコピー

4.2.1. ログエントリー構造
リンクのコピー

4.2.2. 属性
リンクのコピー

法律上の通知
リンクのコピー