elk 为 elasticsearch(查询搜索引擎),logstash(对日志进行分析和过滤,然后转发给elasticsearch),kibana(一个web图形界面用于可视化elasticsearch数据)缩写
1.安装docker环境
2. 准备镜像
拉取 elk镜像,我们用sebp/elk
docker pull sebp/elk,
3. 启动容器
docker run -p 5601:5601 -p 9200:9200 -p 5044:5044 -it --name elk sebp/elk -d
-p 端口映射,5601为kibana 使用,9200为elasticsearch使用,5044为logstash使用
-d 守护进程运行容器
在浏览器输入hostip:5601
正常情况下会显示界面,但是没有日志,因为还没有收集日志信息,我们要做的是将docker的日志导入elk.
4.安装filebeat
我们知道docker 会将容器日志记录到 /var/lib/docker/containers/id/id-json.log
只要将此文件发给elk就可以实现日志管理,elk提供了一个配套工具filebeat,转发日志和监控日志文件
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.1.1-x86_64.rpm
rpm -ivh filebeat-6.1.1-x86_64.rpm
修改配置文件
cd /etc/filebeat
vim filebeat.yml
enable 改为 true
paths:改为
- /var/lib/docker/container/*/*.log
- /var/log/syslog
启动filebeat,systemctl start filebeat
进入ELK容器,修改cd /etc/logstash/conf.d/
vim 02-beats-input.conf
下三行删除掉,意思是否使用证书,本例是不使用证书的,如果你需要使用证书,将logstash.crt拷贝到客户端,然后在filebeat.yml里面添加路径即可
ssl => true
ssl_certificate => "/pki/tls/certs/logstash.crt"
ssl_key => "/pki/tls/private/logstash.key"
注意:sebp/elk docker是自建立了一个证书logstash.crt,默认使用*通配配符,如果你使用证书,filebeat.yml使用的服务器地址必须使用域名,不能使用IP地址,否则会报错,这个坑是我踩后得出来的心得,说见官网文档说明即可
5.
打开kibana管理页面:http://ip:5601 新建filebeat-*
这时我们启动容器,就可以在kibana看到有新的日志输出。
在此,我们只是对elk的部分功能进行了说明。