OS: Centos7

准备工作:

虚拟机中安装Centos, 搭建Docker环境

ELK简介: 略

文档地址 https://elk-docker.readthedocs.io/

需要注意的是在Beats套件加入ELK Stack后,新的称呼是 Elastic Stack , 本次实践的是 filebeat + elk

由于elk镜像很大7.0.1版本大约1.8G 开始前建议将镜像源设置成国内地址 如阿里镜像库,网易镜像库等

阿里镜像源设置可参考 https://www.cnblogs.com/anliven/p/6218741.html/

1.下载镜像

docker pull sebp/elk

2.运行镜像

docker run -p  5601:5601 -p 9200:9200 -p 5044:5044  -v /usr/dockerfile:/data -it -d --name elk sebp/elk
  • 5601 (Kibana web interface).
  • 9200 (Elasticsearch JSON interface).
  • 5044 (Logstash Beats interface, receives logs from Beats such as Filebeat – see the Forwarding logs with Filebeat section).

本机elk镜像运行有点慢,查看运行日志

docker logs elk

3. 配置logstash文件  可以不用配置 由于filebeat比logstash有更好的性能基本是用filebeat搜集日志后直接发给elasticsearch来分析存储

如果需要处理日志可以filebeat收集日志发给logstash,再由logstash整理后给elasticsearch

vim  /usr/dockerfile/config/logstash.yml

input 数据来源是filebeat 端口是5044 禁用ssl 
output 输出是elasticsearch 配置 elasticsearch 地址 和索引

input {
  beats {
    port => 5044
    ssl => false
    codec => "json"
  }
}

output {
  elasticsearch {
    hosts => ["127.0.0.1:9200"]
    index => "filebeat-%{+YYYY.MM.dd}"
  }
}

4.查看elk是否成功启动

host 192.168.95.131 是本地虚拟机的ip

http://192.168.95.131:9200/_search?pretty

http://192.168.95.131:5601/

能正常打开页面表示成功了

5.安装filebeat

可以根据Kibana页面提示安装filebeat

进入Kibana Home页后   选择 Add log data  =>  Logstash logs

根据对应主机系统选择不同的安装方式

6.配置filebeat.yml

cd /etc/filebeat 进入配置文件路径

ls fields.yml  filebeat.reference.yml  filebeat.yml  modules.d

需要配置的就是filebeat.yml , filebeat.reference.yml 是完整的配置项

filebeat.inputs:

- type: log

  enabled: true        # 启用 #

  paths:

    - /data/logs/*.log   # 扫描的文件logs目录下所有.log后缀的文件 #

    - /data/logs/*/*.txt  # 扫描logs目录下文件夹下的.txt后缀的文件#

  fields:                  # 标签 表示 name = host value = 192.168.95.130 logstash中 获取方式 fields.host #

    host: "192.168.95.130"

filebeat.config.modules:

  path: ${path.config}/modules.d/*.yml

  reload.enabled: true

setup.template.settings:

  index.number_of_shards: 1

  _source.enabled: true

output.elasticsearch:

  hosts: ["192.168.95.131:9200"]  #elasticsearch 地址#

processors:

  - add_host_metadata: ~

  - add_cloud_metadata: ~

  - drop_fields:

      fields: ["cpu.user","cpu.system","host.os.family"]  # 过滤的字段 # 

logging.to_files: true   # filebeat 运行日志 保存到 /var/log/filebeat 路径下 #

logging.files:

  path: /var/log/filebeat

7.filebeat 停止/启动/状态查看命令

sudo service filebeat stop

sudo service filebeat start

sudo service filebeat status

启动filebeat后需查看status来确认是否成功启动,通常失败的原因是filebeat.yml文件配置有误

成功状态如下 :

8.验证elk平台是否正常

登陆Kibanna > Management > Kinbana > Index Patterns  根据提示创建索引

点击 Discover 选择索引 filebeat-* 或者 logstash-*  点击刷新 查看日志

或者点击Logs 菜单 查看所有日志 可以点击 Stream live 实时查看日志

遇到的坑:

1.启动elk失败,内存不足

https://www.cnblogs.com/yidiandhappy/p/7714489.html

  

2.filebeat 启动时提示成功了 但是收集不到日志,使用 sudo service filebeat status 查看启动状态 发现是失败的,后来验证是filebeat.yml配置错误

elk基础功能搭建完成

其他功能还在探索中....

参考

https://www.imooc.com/article/70996

在实践Filebeat发送日志给Logstash的过程中一直有些问题,最终发现是logstash配置文件有误,真确的路径是进入容器后的/etc/logstash/conf.d/02-beats-input.conf

参考 https://juejin.im/post/5ba4c8ef6fb9a05d082a1f53

在收集filebeat自己的运行日志时发现一直没产生?!

解决方案是配置filebeat.yml
    查看filebeat运行状态
# sudo service filebeat status

然后 # sudo filebeat run

这条命令是阻塞式的,然后新开窗口进入日志目录进看到日志

下一篇 Docker网络模式

Docker笔记02-日志平台ELK搭建的更多相关文章

  1. 日志框架elk 搭建

    CENTOS7 安装 NGINX ELK之LOGSTASH ELK之ELASTICSEARCH安装 ELK之KIBANA

  2. 分布式日志系统ELK搭建

    ELK:Elasticsearch  Logstash Kibana Elasticsearch:是基于JSON的分布式搜索和分析引擎,专为实现水平扩展.高可用和管理便捷性而设计 Logstash:是 ...

  3. 啃掉Hadoop系列笔记(02)-Hadoop运行环境搭建

    一.新增一个普通用户bigdata

  4. 从头开始搭建分布式日志平台的docker环境

    上篇(spring mvc+ELK从头开始搭建日志平台)分享了从头开始搭建基于spring mvc+redis+logback+logstash+elasticsearch+kibana的分布式日志平 ...

  5. ELK搭建实时日志分析平台之一ElasticSearch搭建

    文:铁乐与猫 系统:CentOS Linux release 7.3.1611 (Core) 注:我这里为测试和实验方便,ELK整套都装在同一台服务器环境中了,生产环境的话,可以分开搭建在不同的服务器 ...

  6. 基于Kafka+ELK搭建海量日志平台

    早在传统的单体应用时代,查看日志大都通过SSH客户端登服务器去看,使用较多的命令就是 less 或者 tail.如果服务部署了好几台,就要分别登录到这几台机器上看,等到了分布式和微服务架构流行时代,一 ...

  7. ELK快速搭建日志平台

    1.  抛砖引入 <Elasticsearch> <Logstash> <Filebeat> <Filebeat模块与配置> <Kibana> ...

  8. 利用 ELK 搭建 Docker 容器化应用日志中心

    利用 ELK 搭建 Docker 容器化应用日志中心 概述 应用一旦容器化以后,需要考虑的就是如何采集位于 Docker 容器中的应用程序的打印日志供运维分析.典型的比如SpringBoot应用的日志 ...

  9. elk日志平台搭建小记

    最近抽出点时间,搭建了新版本的elk日志平台 elastaicsearch 和logstash,kibana和filebeat都是5.6版本的 中间使用redis做缓存,版本为3.2 使用的系统为ce ...

随机推荐

  1. sqlserver中的存储过程 函数 事物 索引及视图

                                           存储过程和函数具体的区别: 核心提示:本质上没区别.只是函数有限制只能返回一个标量,而存储过程可以返回多个.并且函数是可以 ...

  2. 【u115】&&【t031】 01迷宫

    01迷宫(maze01) Time Limit: 1 second Memory Limit: 128 MB [问题描述] 有一个仅由数字0与1组成的n×n格迷宫.若你位于一格0上,那么你可以移动到相 ...

  3. cordova之File Transfer (Permission denied) 权限导致下载失败 - 简书

    原文:cordova之File Transfer (Permission denied) 权限导致下载失败 - 简书 在文件上传时,由于权限问题,会报错(Permission denied),安卓6. ...

  4. lucene 7.x 查询

    @Test public void indexSearch() throws IOException, ParseException { //Termquery:精确string查询 // Query ...

  5. Cordova各种事件

    原文:Cordova各种事件 Cordova事件 Cordova框架了一组事件,开发者用来对某些运行Cordova应用的设备上的事件作出反应.事件处理的一种情况是硬件相关活动,如电池状态变化或用户按了 ...

  6. Hibernate——(4)Hibernate映射类型

    一.常用的Hibernat映射类型有如下几种: string integer double date    日期,只表示年月日 datetime 日期,只表示年月日 timestamp  时间戳,存放 ...

  7. VS2010设置VC6的字体样式及背景色、选中字高亮

    习惯了VC6.0的fixedsys字体,用VS2010还真不习惯.把VS2010打造成经典的.熟悉的模样,也并非难事.网上有相应的文章,我再记录下来,主要是为了自己查找方便(刚刚重装了系统,一切从头再 ...

  8. Like关系查询

    比如:有表1.表2两张相,希望通过like进行关联查询 // mysql中使用concat连接字符串 select  t1.id, t1.title, t2.keyword from t1 inner ...

  9. listview选中滑动时背景变黑

    喵的今天调这个一直以为是背景色的问题,花了好多时间 下面才是解决方法:转自:http://daijun74.iteye.com/blog/1175143 手指在ListView上下滚动时,ListVi ...

  10. 《网络编程》ioctl 操作

    概要 ioctl 功能与 fcntl 功能类似,它可以被用于描述操作的叙述字符,获取或设置属性的描述是开放式的叙事休息,但在网络编程的两个功能有关的不同类型的操作.fcntl 作.文件操作,而 ioc ...