今天我们来聊一下利用docker部署elk日志分析系统,这里解析一下elk是啥东西。elk分别是Elasticsearch,Logstash和Kibana的首字母缩写。

  • Elasticsearch是一个基于JSON的分布式搜索和分析引擎,专为水平可扩展性,最高可靠性和易管理性而设计。
  • Logstash是一个动态数据收集管道,具有可扩展的插件生态系统和强大的Elasticsearch协同作用。
  • Kibana通过UI 提供数据可视化

架构简述

日志系统首先面临几个问题:

不同厂商设备的不同日志格式的处理,如何调用微信来发送报警信息。采用的解决办法是不同厂商的设备发送日志的时候采用不同端口,日志先发送到logstash,

logstash会先解析日志成标准格式,然后logstash会做2件事情,一个是存放日志到es里面,通过kibana做出展示。

环境搭建:

我们这里采用docker容器技术来部署elk。先从docker hub 下载 Elasticsearch,Logstash和Kibana这三个镜像。执行如下命令

[root@node1 ~]# docker pull elasticsearch

[root@node1 ~]# docker pull kibana

[root@node1 ~]# docker pull logstash:7.2.0

为了后续管理方便,这里编写yml文件,然后使用docker-compose来启动。

version: '3.3'

services:

  elasticsearch:

    image: elasticsearch:latest

    container_name: elasticsearch

    hostname: elasticsearch

    ports:

      - '9200:9200'

    environment:

      ES_JAVA_OPTS: "-Xms256m -Xmx256m"

      discovery.type: "single-node"

    volumes:

      - "/data/elk/elasticsearch/data:/usr/elasticsearch/data"

  logstash:

    image: logstash:7.2.0

    container_name: logstash

    hostname: logstash

    ports:

      - "514:514/udp"

    user: 'root'

    command: "logstash -f /etc/logstash.conf --config.reload.automatic"

    volumes:

      - "/data/elk/logstash/logstash.conf:/etc/logstash.conf"

    environment:

      LS_JAVA_OPTS: "-Xmx256m -Xms256m"

    links:

      - "elasticsearch:elasticsearch" 

  kibana:

    image: kibana:latest

    container_name: kibana

    hostname: kibana

    ports:

      - '5601:5601'

    environment:

      ELASTICSEARCH_URL: "http://elasticsearch:9200"

    links:

      - "elasticsearch:elasticsearch"

注意:/data/elk/logstash/logstash.conf这个文件需要我们提前准备,后面会提到。

交换机配置

我们需要把交换机的日志指定到elk服务器上。

cisco:

logging host 10.100.18.18 transport udp port 5002

H3C

info-center enable

info-center source default channel 2 trap state off

// 必要,不然日志会出现 不符合级别的 alert 日志

info-center loghost 10.100.18.18 port 5003

huawei

info-center enable

info-center loghost 10.100.18.18

info-center timestamp log short-date

info-center timestamp trap short-date

Logstash 的配置

不同厂商的日志 gork我都写好了,复制过去就能用

input{

	tcp {port => 5002 type => "Cisco"}

	udp {port => 514 type => "HUAWEI"}

	udp {port => 5002 type => "Cisco"}

	udp {port => 5003 type => "H3C"}

}

filter {

	if [type] == "Cisco"{

	grok{

	match => { "message" => "<%{BASE10NUM:syslog_pri}>%{NUMBER:log_sequence}: .%{SYSLOGTIMESTAMP:timestamp}: %%{DATA:facility}-%{POSINT:severity}-%{CISCO_REASON:mnemonic}: %{GREEDYDATA:message}" }

	match => { "message" => "<%{BASE10NUM:syslog_pri}>%{NUMBER:log_sequence}: %{SYSLOGTIMESTAMP:timestamp}: %%{DATA:facility}-%{POSINT:severity}-%{CISCO_REASON:mnemonic}: %{GREEDYDATA:message}" }

	add_field => {"severity_code" => "%{severity}"}

	overwrite => ["message"]

	}

}

	else if [type] == "H3C"{

	grok {

	match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{YEAR:year} %{DATA:hostname} %%%{DATA:vvmodule}/%{POSINT:severity}/%{DATA:digest}: %{GREEDYDATA:message}" }

	remove_field => [ "year" ]

	add_field => {"severity_code" => "%{severity}"}

	overwrite => ["message"]

	}

}

    else if [type] == "HUAWEI"{

    grok {

   	match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{DATA:hostname} %%%{DATA:ddModuleName}/%{POSINT:severity}/%{DATA:Brief}:%{GREEDYDATA:message}"}

   	match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{DATA:hostname} %{DATA:ddModuleName}/%{POSINT:severity}/%{DATA:Brief}:%{GREEDYDATA:message}"}

   	remove_field => [ "timestamp" ]

    add_field => {"severity_code" => "%{severity}"}

    overwrite => ["message"]

    }

}

mutate {

		gsub => [

		"severity", "0", "Emergency",

		"severity", "1", "Alert",

		"severity", "2", "Critical",

		"severity", "3", "Error",

		"severity", "4", "Warning",

		"severity", "5", "Notice",

		"severity", "6", "Informational",

		"severity", "7", "Debug"

		]

	}

}

output{

	elasticsearch {

		index => "syslog-%{+YYYY.MM.dd}"

		hosts => ["your_ipaddress:9200"]

    }

}

Normal
0

7.8 磅
0
2

false
false
false

EN-US
ZH-CN
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:普通表格;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
mso-bidi-font-size:11.0pt;
font-family:等线;
mso-ascii-font-family:等线;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:微软雅黑;
mso-hansi-font-family:等线;
mso-hansi-theme-font:minor-latin;
mso-font-kerning:1.0pt;}

利用docker部署elk交换机日志分析的更多相关文章

  1. [原创]ubuntu14.04部署ELK+redis日志分析系统

    ubuntu14.04部署ELK+redis日志分析系统 [环境] host1:172.17.0.4 搭建ELK+redis服务 host2:172.17.0.3 搭建logstash+nginx服务 ...

  2. Docker 部署ELK之Sentinl日志报警

    前篇文章简单介绍了Docker 部署ELK,以及使用filebeat收集java日志.这篇我们介绍下日志报警配置,这里我们使用Sentinl插件. 1.修改kibana参数 进入elk容器,修改对应参 ...

  3. Docker 部署 elk + filebeat

    Docker 部署 elk + filebeat kibana 开源的分析与可视化平台logstash 日志收集工具 logstash-forwarder(原名lubmberjack)elastics ...

  4. asp.net core结合NLog搭建ELK实时日志分析平台

    0.整体架构 整体架构目录:ASP.NET Core分布式项目实战-目录 一.介绍ELK 1.说明(此篇ELK采用rpm的方式安装在服务器上)-牛刀小试 承接上一篇文章的内容准备部署ELK来展示asp ...

  5. 离线部署ELK+kafka日志管理系统【转】

    转自 离线部署ELK+kafka日志管理系统 - xiaoxiaozhou - 51CTO技术博客http://xiaoxiaozhou.blog.51cto.com/4681537/1854684 ...

  6. 手把手教你搭建 ELK 实时日志分析平台

    本篇文章主要是手把手教你搭建 ELK 实时日志分析平台,那么,ELK 到底是什么呢? ELK 是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch.Logstash 和 Kiban ...

  7. 被一位读者赶超,手摸手 Docker 部署 ELK Stack

    被一位读者赶超,容器化部署 ELK Stack 你好,我是悟空. 被奇幻"催更" 最近有个读者,他叫"老王",外号"茴香豆泡酒",找我崔更 ...

  8. ELK + Filebeat 日志分析系统

    ELK + Filebeat 日志分析系统 架构图 环境 OS:CentOS 7.4 Filebeat: 6.3.2 Logstash: 6.3.2 Elasticsearch 6.3.2 Kiban ...

  9. CentOS下利用Docker部署Surging

    原文:CentOS下利用Docker部署Surging 1. 安装Centos, 配置固定ip配置文件地址vi /etc/sysconfig/network-scripts/ifcfg-ens33`` ...

随机推荐

  1. 十几万条数据的表中,基于帝国cms 。自己亲身体验三种批量更新数据的方法,每一种的速度是什么样的

    需求是 上传Excel 读取里面的数据.根据Excel中某一个字段,与数据表中的一个字段的唯一性.然后把 Excel表中数据和数据库表中数据一次更改.本次测试一次更新31条数据. 本次测试基于帝国cm ...

  2. Redis学习笔记(二十一) 事务

    文章开始啰嗦两句,写到这里共21篇关于redis的琐碎知识,没有过多的写编程过程中redis的应用,着重写的是redis命令.客户端.服务器以及生产环境搭建用到的主从.哨兵.集群实现原理,如果你真的能 ...

  3. Random Point in Triangle【随机数解决期望值问题】

    Random Point in Triangle 题目链接(点击) 题目描述 Bobo has a triangle ABC with A(x1,y1),B(x2,y2)A(x1,y1),B(x2,y ...

  4. MSSQL2008下备份好的*.bak--->>>恢复到--->>>MSSQL2014(解决办法)

    MSSQL2008下备份好的*.bak--->>>恢复到--->>>MSSQL2014(解决办法) 在进行CTE训练时(同时也要理解下窗口函数的应用),发现不能继续 ...

  5. Appium定位元素

    定位元素规则 和 Selenium Web自动化一样,要操作界面元,必须先定位(选择)元素. Appius是基于 Selenium的,所以和 Selenium代码定位元素的基本规则相同 find el ...

  6. 探索ADC的原理(自制3位并行比较型ADC)

    摘要 本文通过列举历史中出现的产品,梳理了模数转换器在20世纪30年代~~20世纪80年代末的发展历史.接下来,简要介绍模数转换器的原理.技术指标.分类和未来发展方向.最后,提供了一种自制3位FLAS ...

  7. android handle详解

    我们来看一个简单的代码: package com.mly.panhouye.handlerdemo; import android.content.Intent; import android.os. ...

  8. 学习python的基本了解

    1) 使用python打印信息,分别打印你的名字.年龄.爱好# print('wang,23,shopping')# 2)使用变量,分别打印你的名字.年龄.爱好# name='wang'# age=2 ...

  9. Shell 脚本学习(1)

    一 Shell概览 1. 自动化批量系统初始化程序(update, 软件安装,时区设置,安全策略,...) 2. 自动化批量软件部署程序(LAMP,LNMP,Tomcat,LVS,Nginx) 3. ...

  10. day17—max, map, reduce, filter, zip 函数的使用

    一.max 函数 l=[3,2,100,999,213,1111,31121,333] print(max(l)) # dic={'k1':10,'k2':100,'k3':30} print(max ...