elk-filebeat收集docker容器日志
使用docker搭建elk
1、使用docker-compose文件构建elk。文件如下:
version: '3'services:elk:image: sebp/elk:640ports:- "5601:5601"- "9200:9200"- "5044:5044"environment:- ES_JAVA_OPTS=-Xms512m -Xmx512mvolumes:- ~dockerdata/elk:/var/lib/elasticsearch
2、执行docker-compose up -d 启动elk。可以使用docker logs 命令查看elk启动日志。启动成功后打开浏览器访问 http://127.0.0.1:5601
filebeat安装与配置
关于filebeat本文也不做过多介绍。只讲解安装与配置。
1、filebeat的docker-composep
version: '3'services:filebeat:image: prima/filebeat:6#restart: alwaysvolumes:- ./config/filebeat.yml:/filebeat.yml- ~/dockerdata/filebeat:/data- /var/lib/docker/containers:/var/lib/docker/containers
挂载说明
- filebeat.yml配置需要在本地有对应文件,稍后会说到
- filebeat抓取日志进度数据,挂载到本地,防止filebeat容器重启,所有日志重新抓取
- 因为要收集docker容器的日志,所以要挂在到docker日志存储目录,使它有读取权限
2、filebeat配置文件设置
- 在docker-compose.yml同级目录新建config文件夹
- 在config文件下新建filebeat.yml文件,文件内容如下:
filebeat.prospectors:- type: logenabled: truepaths:- /var/lib/docker/containers/*/*.log #需要读取日志的目录#json.keys_under_root: true # 因为docker使用的log driver是json-file,因此采集到的日志格式是json格式,设置为true之后,filebeat会将日志进行json_decode处理json.add_error_key: true #如果启用此设置,则在出现JSON解组错误或配置中定义了message_key但无法使用的情况下,Filebeat将添加“error.message”和“error.type:json”键。json.message_key: log #一个可选的配置设置,用于指定应用行筛选和多行设置的JSON密钥。 如果指定,键必须位于JSON对象的顶层,且与键关联的值必须是字符串,否则不会发生过滤或多行聚合。tail_files: true# 将error日志合并到一行multiline.pattern: '^([0-9]{4}|[0-9]{2})-[0-9]{2}'multiline.negate: truemultiline.match: aftermultiline.timeout: 10s# registry_file: /opt/filebeat/registry#-------------------------- Elasticsearch output ------------------------------# 直接输出到elasticsearch,这里的hosts是elk地址,端口号是elasticsearch端口#output.elasticsearch:hosts: ["10.9.70.62:9200"]#==================== Elasticsearch template setting ==========================setup.template.name: "filebeat.template.json"setup.template.fields: "filebeat.template.json"setup.template.overwrite: truesetup.template.enabled: false# 过滤掉一些不必要字段#processors:- drop_fields:fields: ["input_type", "offset", "stream", "beat"]
- 在config文件下新建filebeat.template.json文件,文件内容如下:
{"mappings": {"_default_": {"_all": {"norms": false},"_meta": {"version": "5.1.2"},"dynamic_templates": [{"strings_as_keyword": {"mapping": {"ignore_above": 1024,"type": "keyword"},"match_mapping_type": "string"}}],"properties": {"@timestamp": {"type": "date"},"beat": {"properties": {"hostname": {"ignore_above": 1024,"type": "keyword"},"name": {"ignore_above": 1024,"type": "keyword"},"version": {"ignore_above": 1024,"type": "keyword"}}},"input_type": {"ignore_above": 1024,"type": "keyword"},"message": {"norms": false,"type": "text"},"meta": {"properties": {"cloud": {"properties": {"availability_zone": {"ignore_above": 1024,"type": "keyword"},"instance_id": {"ignore_above": 1024,"type": "keyword"},"machine_type": {"ignore_above": 1024,"type": "keyword"},"project_id": {"ignore_above": 1024,"type": "keyword"},"provider": {"ignore_above": 1024,"type": "keyword"},"region": {"ignore_above": 1024,"type": "keyword"}}}}},"offset": {"type": "long"},"source": {"ignore_above": 1024,"type": "keyword"},"tags": {"ignore_above": 1024,"type": "keyword"},"type": {"ignore_above": 1024,"type": "keyword"}}}},"order": 0,"settings": {"index.refresh_interval": "5s"},"template": "filebeat-*"}
- 执行docker-compose up -d 启动filebeat。
在需要抓取docker日志的所有主机上按照以上步骤安装运行filebeat即可。到这一步其实就已经可以在elk里面建立索引查抓取到的日志。但是如果docker容器很多的话,没有办法区分日志具体是来自哪个容器,所以为了能够在elk里区分日志来源,需要在具体的docker容器上做一些配置,接着看下面的内容
docker容器设置
可以给具体的docker容器增加labels,并且设置logging。参考以下docker-compose.yml
version: '3'services:db:image: mysql:5.7# 设置labelslabels:service: db# logging设置增加labels.servicelogging:options:labels: "service"ports:- "3306:3306"
重新启动应用,然后访问http://127.0.0.1:5601 重新添加索引。查看日志,可以增加过滤条件 attrs.service:db,此时查看到的日志就全部来自db容器。结果如下图所示:
参考文章
首发地址
http://www.devzxd.top/2018/10/25/elk-filebeat-dockerlogs.html
elk-filebeat收集docker容器日志的更多相关文章
- ELK:收集Docker容器日志
简介 之前写过一篇博客 ELK:日志收集分析平台,介绍了在Centos7系统上部署配置使用ELK的方法,随着容器化时代的到来,容器化部署成为一种很方便的部署方式,收集容器日志也成为刚需.本篇文档从 容 ...
- ELK:收集k8s容器日志最佳实践
简介 关于日志收集这个主题,这已经是第三篇了,为什么一再研究这个课题,因为这个课题实在太重要,而当今优秀的开源解决方案还不是很明朗: 就docker微服务化而言,研发有需求标准输出,也有需求文件输出, ...
- EFK的安装和收集docker容器日志展示
在用户根目录创建个filebeat.docker.yml文件,文件内容如下 filebeat.config: modules: path: ${path.config}/modules.d/*.yml ...
- docker 容器日志集中 ELK + filebeat
docker 容器日志集中 ELK ELK 基于 ovr 网络下 docker-compose.yaml version: '2' networks: network-test: external: ...
- docker容器日志收集方案(方案一 filebeat+本地日志收集)
filebeat不用多说就是扫描本地磁盘日志文件,读取文件内容然后远程传输. docker容器日志默认记录方式为 json-file 就是将日志以json格式记录在磁盘上 格式如下: { " ...
- ELK学习实验018:filebeat收集docker日志
Filebeat收集Docker日志 1 安装docker [root@node4 ~]# yum install -y yum-utils device-mapper-persistent-data ...
- docker容器日志收集方案(方案二 filebeat+syslog本地日志收集)
与方案一一样都是把日志输出到本地文件系统使用filebeat进行扫描采集 不同的是输出的位置是不一样的 我们对docker进行如下设置 sudo docker service update --lo ...
- docker容器日志收集方案汇总评价总结
docker日志收集方案有太多,下面截图罗列docker官方给的日志收集方案(详细请转docker官方文档).很多方案都不适合我们下面的系列文章没有说. 经过以下5篇博客的叙述简单说下docker容器 ...
- docker容器日志查看
日志分两类,一类是 Docker 引擎日志:另一类是 容器日志. Docker 引擎日志 Docker 引擎日志 一般是交给了 Upstart(Ubuntu 14.04) 或者 systemd (Ce ...
随机推荐
- 1006: Hero In Maze
1006: Hero In Maze 时间限制: 1000 Sec 内存限制: 64 MB提交: 417 解决: 80[提交][状态][讨论版][命题人:外部导入] 题目描述 500年前,Jess ...
- SWFUpload 参数详解
属性 类型 默认值 描述 upload_url String 处理上传文件的服务器端页面的url地址,可以是绝对地址,也可以是相对地址,当为相对地址时相对的是当前代码所在的文档地址 preserv ...
- R 语言爬虫 之 cnblog博文爬取
Cnbolg Crawl a). 加载用到的R包 ##library packages needed in this case library(proto) library(gsubfn) ## Wa ...
- hadoop中使用的Unsafe.java
今天查看hadoop源代码, 发现有个Unsafe.java 稍微总结下 优势 1 减少线程调度开销, Unsafe.java 通过采用非堵塞原子方式来减少线程调度开销 2 传统线程通信 ...
- orderBy 过滤器
orderBy 过滤器根据表达式排列数组: <!DOCTYPE html><html><head><meta http-equiv="Content ...
- jquery 表单事件
.blur() 当元素失去焦点的时候触发事件. .blur(handler(eventObject)) handler(eventObject) 每当事件触发时候执行的函数. .blur([event ...
- Centos7下MySql5.7安装及配置
安装MySql 软件包: mysql-community-libs-5.7.22-1.el7.x86_64.rpm mysql-community-common-5.7.22-1.el7.x86_64 ...
- 日期格式兼容iOS
iOS不支持2016-02-11 12:21:12格式的日期 目前Safari可以支持的标准格式: MM-dd-yyyy yyyy/MM/dd MM/dd/yyyy MMMM dd, yyyy MMM ...
- 【转载】C#批量插入数据到Sqlserver中的三种方式
引用:https://m.jb51.net/show/99543 这篇文章主要为大家详细介绍了C#批量插入数据到Sqlserver中的三种方式,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 本篇, ...
- 【Effective C++ 读书笔记】条款04:确定对象使用前已先被初始化
永远在使用对象之前先将它初始化.对于无任何成员的内置类型,你必须手工完成此事. 至于内置类型以外的任何其他东西,初始化责任落在构造函数身上.规则很简单:确保每一个构造函数都将对象的每一个成员初始化. ...