Docker部署ELK 日誌歸集

elk是elasticsearch、logstash、kibana的縮寫，使用elk的原因是因為公司使用spring cloud部署了多個微服務，不同的微服務有不同的日誌檔案，當生產上出現問題是不能及時排查，所以使用logstash手機日誌，elasticsearch實現全文檢索，kibana作為顯示與分析。

當然同樣優秀的還有graylog但是都是基於elasticsearch,所以這裡選用elk

#因為對記憶體有要求所以 vim /etc/sysctl.conf # 新增下面配置 vm.max_map_count=655360 # 編輯完，使命令生效 sysctl -p # 編輯檔案 vi /etc/security/limits.conf # 修改並加入下面配置 * soft nofile 65536 * hard nofile 131072 * soft nproc 2048

* hard nproc 4096

首先在官網查詢到最新版本

docker pull elasticsearch:7.2.0

啟動es

docker run -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" --name elasticsearch -d elasticsearch

安裝ik分詞器

#進入容器 docker exec -it 容器id /bin/bash #進入plugins目錄 cd /usr/share/elasticsearch/plugins/ #解壓unzip -d ik-analysis elasticsearch-analysis-ik-7.2.0.zip #刪除壓縮包(切記刪除或移動到其他目錄否則無法啟動) rm -rf elasticsearch-analysis-ik-7.2.0.zip #退出容器 exit #重啟容器

docker restart 容器id

允許跨域

#進入 /usr/share/elasticsearch/config/elasticsearch.yml #新增http.cors.enabled: true

http.cors.allow-origin: "*"

docker pull kibana:7.2.0

檢視es內部ip

docker inspect 容器id

#找到networksettings.ipaddress

執行容器

docker run --name kibana --link elasticsearch:elasticsearch -p 5601:5601 -d kibana:7.2.0 #官方推薦以上方式，如果es不是docker容器可以採用以下方式

-e elasticsearch_hosts=http://ip:9200

wget

解壓

tar -xzvf filebeat-7.2.0-linux-x86_64.tar.gz

修改filebeat.yml

filebeat.inputs: - type: log enabled: true paths: - /tmp/log/*.log output.logstash: enabled: true

hosts: ["logstash ip:5044"]

啟動

#前台啟動 ./filebeat -e -c filebeat.yml #後台啟動 nohup ./filebeat -e -c filebeat.yml > filebeat.log & #結束程序 ps -ef |grep filebeat

kill -9 程序號

docker pull logstash:7.2.0

啟動

docker run -p 5044:5044 -p 9600:9600 -d --name logstash logstash:7.2.0

進入容器

docker exec -it -u 0 logstash /bin/bash

刪除示例

rm -rf logstash-sample.conf

重啟

docker restart logstash

Docker部署ELK 日誌歸集

Docker中部署 ELK日誌分析系統

使用Docker部署日誌分析平台 ELK

docker方式部署ELK

Docker部署ELK 日誌歸集

Docker中部署 ELK日誌分析系統

使用Docker部署日誌分析平台 ELK

docker方式部署ELK

相關推薦