快速入门
只需几个步骤,您就可以把业务日志接入 BK-Lite 日志系统,并完成第一次检索验证与事件闭环。
1. 前置条件
- 您需要采集日志的主机、容器或 Kubernetes 集群具备接入条件,并且当前账号拥有对应组织与实例权限。
- 已明确待采集日志的来源信息,例如文件路径、容器日志来源,或 Kubernetes 集群所在云区域。
- 如果需要做团队级隔离,请提前规划日志分组和组织授权范围。
2. 第一步:完成日志接入
进入日志模块后,打开 「集成」-「日志集成」。
- 在采集类型列表中选择目标场景,例如文件日志、Docker 日志或 Kubernetes 日志。
- 打开对应类型的配置页,填写接入实例名称、组织范围和采集参数。
- 如果是主机或容器场景,按页面要求完成实例配置与下发;如果是 Kubernetes 场景,选择云区域并生成安装命令,在目标集群执行安装。
- 如需了解字段含义或部署要求,可进入同一接入项的**「简介」**页查看接入说明。
3. 第二步:分发与确认生效
完成接入后,进入 「集成」-「日志接收」 检查实例状态。
- 在实例列表中找到刚创建的接入实例,确认基础信息、组织归属和配置状态正确。
- 如需调整采集参数,可直接执行编辑或配置更新。
- 点击 「查看日志」,确认该实例对应的日志已经能够进入搜索页并被检索到。底层由 Vector(文件、Docker、Syslog、Kubernetes 等)或 Snmptrapd(SNMP Trap)等采集器采集,并统一写入 VictoriaLogs;状态正常即代表对应采集器已生效。
⚠️ 注意 / 安全最佳实践: 如果您希望对不同业务团队做数据隔离,建议在 「集成」-「日志分组」 中先定义分组规则,再将搜索、策略和权限范围建立在对应日志分组之上。
4. 第三步:执行第一次日志搜索
进入 「日志搜索」,使用刚接入的日志进行首次排查验证。
- 先选择目标日志分组和时间范围,建立正确的搜索上下文。
- 在查询表达式中输入关键字、错误码或目标字段,执行搜索后查看趋势图和结果明细。
- 如果需要更快缩小范围,可以使用字段名、字段值候选或左侧字段 Top 值分布,把目标字段和值直接追加到查询表达式。
- 如果需要观察最新输出,可切换到实时 tail 持续查看日志流。
5. 结果验证与闭环
完成首次搜索后,建议按以下方式形成闭环:
- 在 「日志分析」 页选择对应内置仪表盘,按日志分组和时间范围查看趋势,确认数据已经进入分析面板。
- 如果当前日志模式需要长期监控,可进入 「事件」-「策略」 创建关键字告警或聚合告警。
- 当告警产生后,可在 「事件」-「告警」 中查看统计、事件时间线、最近原始日志,并在处理完成后关闭告警。