使用 Elastic Streams 轻松处理 Kubernetes 日志

作者：来自 Elastic Luca Wintergerst

使用 Elastic Streams 轻松处理 Kubernetes 日志

了解如何使用 Elastic Streams 处理 Kubernetes 日志，包括使用条件块、AI 生成的 Grok 模式，以及选择性丢弃数据来减少噪声和存储成本。

Streams 是 Elastic Observability 中的一项全新 AI 能力。它构建在 Elasticsearch 平台之上，旨在让 Site Reliability Engineers ( SREs ) 在调查问题时将日志作为主要信号来源，从而更快获得答案并更快解决问题。几十年来，日志一直被认为噪声过多、成本高昂且难以管理，许多可观测性厂商也把它当作二等公民对待。Streams 改变了这一现状，它将原始日志转化为最有价值的资产，不仅可以立即识别根本原因，还能理解根本原因背后的 “为什么”，从而实现即时解决。

更多信息可以参考我们之前的文章 Streams 介绍。

许多 SRE 在 cloud native 架构上进行部署，而 Kubernetes 基本已经成为默认的部署架构。然而 Kubernetes 日志默认是非常混乱的。单个 (data)stream 往往会混合以下内容：

access logs
JSON payloads
health checks
内部服务通信日志

Elastic Streams 提供了一条更快的路径。你可以通过条件语句隔离日志子集，使用 AI 从真实样本生成 Grok 模式，并在日志产生存储和查询成本之前丢弃不需要的文档。

默认的 Kubernetes container logs 流可能同时包含来自多个服务的数据。在一个样本中，你可能会看到：

来自应用 pods 的 HTTP access logs
详细的 worker 或 batch job 状态日志
不同格式的平台和容器生命周期事件

这就是为什么 “一个全局解析规则” 通常会失败。你需要根据日志结构或应用类型制定有针对性的处理逻辑。从历史上看，这类自定义处理既容易出错又非常耗时。

Streams Processing（在 9.2 及更高版本中提供）将这一流程变成一种实时、交互式体验：

你可以在 UI 中构建条件和处理器
在保存之前，可以使用样本文档验证每一次修改
你可以使用 AI 从选定日志自动生成提取模式

结果是：在不需要猜测的情况下，以更安全的方式迭代日志解析逻辑。

我们将从你的 Kubernetes stream（logs-kubernetes.containers_logs-default）开始，并创建一个条件块，将处理范围限定到某一个服务。

使用 Elastic Streams 轻松处理 Kubernetes 日志

一旦保存该条件，它会自动将样本数据过滤为符合该条件的日志子集。这在预览中会以蓝色高亮显示。

在该块内部，我们将添加一个 Grok processor，然后点击 Generate pattern。

使用 Elastic Streams 轻松处理 Kubernetes 日志

这个 agentic 过程现在会使用 LLM 生成一个 Grok pattern，用于解析日志。默认情况下会使用 Elastic Inference Service，但你也可以配置为使用你自己的 LLM。在样本数据验证通过后，检查生成的 pattern 并接受它。

使用 Elastic Streams 轻松处理 Kubernetes 日志