Elastic Stack 提供了多种可观测性数据采集agent。具体包括:
最佳迁移路径取决于当前使用的agent。在接下来的各节中,我们将介绍每种主要agent类型的迁移方案。我们的目标是尽可能降低迁移成本,并在可能的情况下,让你在过渡期间继续使用现有agent。
在条件允许的情况下,我们建议将所有日志、指标和 trace 采集迁移到 OpenTelemetry (OTel) Collector,并将其以边缘侧 agent 角色部署。这是发送数据最高效的方式,也能避免额外的架构复杂性和数据转换。
为什么选择 OpenTelemetry Collector?OpenTelemetry Collector 为可观测性数据摄取提供了一种可持续、厂商中立的解决方案。我们理解,有些组织运行着由数千个、甚至数万个 Elastic agent 组成的大规模部署。对于这类用户,与现有 agent 基础设施保持兼容可能至关重要。本文档旨在为此提供支持,同时帮助团队逐步过渡到基于 OpenTelemetry 的采集方案。
ClickHouse OpenTelemetry 端点
安装 Vector
使用官方安装指南安装 Vector。可将其安装在与你的 Elastic Stack OTel collector 相同的实例上。你可以在将 Vector 迁移到生产环境时,遵循架构和安全方面的最佳实践。配置 vector
需要将 Vector 配置为通过 Lumberjack 协议接收事件,以模拟 Logstash 实例。可通过为 Vector 配置 logstash source 来实现:sources:
beats:
type: logstash
address: 0.0.0.0:5044
tls:
enabled: false # 如果使用 TLS,请设置为 true
# 以下文件由 https://www.elastic.co/docs/reference/fleet/secure-logstash-connections#generate-logstash-certs 中的步骤生成
# crt_file: logstash.crt
# key_file: logstash.key
# ca_file: ca.crt
# verify_certificate: true
transforms:
remap_filebeat:
inputs: ["beats"]
type: "remap"
file: 'beat_to_otel.vrl'
beats 数据源接收事件。下方展示了我们的重映射脚本。该脚本仅针对日志事件进行了测试,但可作为其他格式的参考基础。
# 定义根级别需要忽略的键
ignored_keys = ["@metadata"]
# 定义资源键前缀
resource_keys = ["host", "cloud", "agent", "service"]
# 为资源字段和日志记录字段分别创建对象
resource_obj = {}
log_record_obj = {}
# 将所有未被忽略的根键复制到对应的对象中
root_keys = keys(.)
for_each(root_keys) -> |_index, key| {
if !includes(ignored_keys, key) {
val, err = get(., [key])
if err == null {
# 检查是否为资源字段
is_resource = false
if includes(resource_keys, key) {
is_resource = true
}
# 添加到对应的对象中
if is_resource {
resource_obj = set(resource_obj, [key], val) ?? resource_obj
} else {
log_record_obj = set(log_record_obj, [key], val) ?? log_record_obj
}
}
}
}
# 分别对两个对象进行扁平化处理
flattened_resources = flatten(resource_obj, separator: ".")
flattened_logs = flatten(log_record_obj, separator: ".")
# 处理资源属性
resource_attributes = []
resource_keys_list = keys(flattened_resources)
for_each(resource_keys_list) -> |_index, field_key| {
field_value, err = get(flattened_resources, [field_key])
if err == null && field_value != null {
attribute, err = {
"key": field_key,
"value": {
"stringValue": to_string(field_value)
}
}
if (err == null) {
resource_attributes = push(resource_attributes, attribute)
}
}
}
# 处理日志记录属性
log_attributes = []
log_keys_list = keys(flattened_logs)
for_each(log_keys_list) -> |_index, field_key| {
field_value, err = get(flattened_logs, [field_key])
if err == null && field_value != null {
attribute, err = {
"key": field_key,
"value": {
"stringValue": to_string(field_value)
}
}
if (err == null) {
log_attributes = push(log_attributes, attribute)
}
}
}
# 获取 timeUnixNano 的时间戳(转换为纳秒)
timestamp_nano = if exists(.@timestamp) {
to_unix_timestamp!(parse_timestamp!(.@timestamp, format: "%Y-%m-%dT%H:%M:%S%.3fZ"), unit: "nanoseconds")
} else {
to_unix_timestamp(now(), unit: "nanoseconds")
}
# 获取 message/body 字段
body_value = if exists(.message) {
to_string!(.message)
} else if exists(.body) {
to_string!(.body)
} else {
""
}
# 创建 OpenTelemetry 结构
. = {
"resourceLogs": [
{
"resource": {
"attributes": resource_attributes
},
"scopeLogs": [
{
"scope": {},
"logRecords": [
{
"timeUnixNano": to_string(timestamp_nano),
"severityNumber": 9,
"severityText": "info",
"body": {
"stringValue": body_value
},
"attributes": log_attributes
}
]
}
]
}
]
}
remap_filebeat 转换的输出作为输入:sinks:
otlp:
type: opentelemetry
inputs: [remap_filebeat] # 从 remap transform 接收事件 - 见下文
protocol:
type: http # 端口 4317 请使用 "grpc"
uri: http://localhost:4318/v1/logs # OTel collector 的日志端点
method: post
encoding:
codec: json
framing:
method: newline_delimited
headers:
content-type: application/json
authorization: ${YOUR_INGESTION_API_KEY}
YOUR_INGESTION_API_KEY 由 ClickStack 生成。您可以在 ClickStack UI (HyperDX) 的 Team Settings → API Keys 中找到该密钥。完整的最终配置如下所示:sources:
beats:
type: logstash
address: 0.0.0.0:5044
tls:
enabled: false # 如果使用 TLS,请设置为 true
#crt_file: /data/elasticsearch-9.0.1/logstash/logstash.crt
#key_file: /data/elasticsearch-9.0.1/logstash/logstash.key
#ca_file: /data/elasticsearch-9.0.1/ca/ca.crt
#verify_certificate: true
transforms:
remap_filebeat:
inputs: ["beats"]
type: "remap"
file: 'beat_to_otel.vrl'
sinks:
otlp:
type: opentelemetry
inputs: [remap_filebeat]
protocol:
type: http # 如需使用端口 4317,请改用 "grpc"
uri: http://localhost:4318/v1/logs
method: post
encoding:
codec: json
framing:
method: newline_delimited
headers:
content-type: application/json
配置 Filebeat
现有的 Filebeat 安装只需稍作修改,将事件发送到 Vector 即可。这需要配置 Logstash 输出;同样,TLS 也可按需配置:# ------------------------------ Logstash 输出 -------------------------------
output.logstash:
# Logstash 主机
hosts: ["localhost:5044"]
# 可选的 SSL,默认关闭。
# 用于 HTTPS 服务器验证的根证书列表
#ssl.certificate_authorities: ["/etc/pki/root/ca.pem"]
# 用于 SSL 客户端身份验证的证书
#ssl.certificate: "/etc/pki/client/cert.pem"
# 客户端证书密钥
#ssl.key: "/etc/pki/client/cert.key"
- 将 Elastic Agent 配置为通过 Lumberjack 协议发送到 Vector 端点。目前,这种方式仅针对仅使用 Elastic Agent 收集日志数据的用户进行了测试。 这可以通过 Kibana 中的 Fleet UI 统一配置。
- 将 Elastic Agent 作为 Elastic OpenTelemetry Collector (EDOT) 运行。Elastic Agent 内嵌了 EDOT Collector,因此您只需对应用程序和基础设施进行一次埋点,即可将数据发送到多个供应商和后端。在这种配置下,您只需将 EDOT collector 配置为通过 OTLP 将事件转发到 ClickStack OTel collector。这种方式支持所有事件类型。
下面我们将演示这两种方式。
安装并配置 Vector
按照从 Filebeat 迁移部分文档中的相同步骤安装并配置 Vector。配置 Elastic Agent
需要将 Elastic Agent 配置为通过 Logstash 的 Lumberjack 协议发送数据。这是一种受支持的部署模式,既可以集中配置;如果是不使用 Fleet 的部署方式,也可以通过 agent 配置文件 elastic-agent.yaml 进行配置。要在 Kibana 中进行集中配置,可以向 Fleet 添加一个 Output。然后即可在 agent policy 中使用此 Output。这意味着,所有使用该策略的 agent 都会自动将其数据发送到 Vector。由于这需要配置基于 TLS 的安全通信,我们建议参考指南“为 Logstash Output 配置 SSL/TLS”。按照该指南操作时,可将用户的 Vector 实例视为充当 Logstash 角色。请注意,这还要求用户将 Vector 中的 Logstash source 也配置为 mutual TLS。使用该指南中生成的 密钥和证书,正确配置输入端。sources:
beats:
type: logstash
address: 0.0.0.0:5044
tls:
enabled: true # 如果使用 TLS,请将其设为 true。
# 以下文件根据 https://www.elastic.co/docs/reference/fleet/secure-logstash-connections#generate-logstash-certs 中的步骤生成
crt_file: logstash.crt
key_file: logstash.key
ca_file: ca.crt
verify_certificate: true
将 Elastic agent 作为 OpenTelemetry collector 运行
agent 集成与编排使用随 Elastic agent 分发的 EDOT collector 的用户将无法利用 agent 提供的现有集成。此外,该 collector 无法由 Fleet 进行集中管理,这意味着用户必须以独立模式运行 agent,并自行管理配置。 exporters,并配置 OTLP 输出,将数据发送到 ClickStack OpenTelemetry collector。例如,exporters 的配置将变为:
exporters:
# 将日志和指标发送到 Elasticsearch Managed OTLP Input 的导出器
otlp:
endpoint: localhost:4317
headers:
authorization: ${YOUR_INGESTION_API_KEY}
tls:
insecure: true
托管 ClickStack默认情况下,如果以独立方式为托管 ClickStack 运行 OpenTelemetry Collector,则无需 API 摄取密钥。不过,也可以通过指定 OTLP 身份验证令牌来保护摄取。请参阅“保护收集器”。 YOUR_INGESTION_API_KEY 由 ClickStack 生成。您可以在 ClickStack UI 的 Team Settings → API Keys 中找到该密钥。
如果 Vector 已配置为使用双向 TLS,并且证书和私钥是按照指南“为 Logstash 输出配置 SSL/TLS”中的步骤生成的,则还需要相应配置 otlp 导出器,例如:
exporters:
# 将日志和指标发送到 Elasticsearch Managed OTLP Input 的导出器
otlp:
endpoint: localhost:4317
headers:
authorization: ${YOUR_INGESTION_API_KEY}
tls:
insecure: false
ca_file: /path/to/ca.crt
cert_file: /path/to/client.crt
key_file: /path/to/client.key
从 Elastic OpenTelemetry Collector 迁移
