ELK 8.4.3 docker 保姆级安装部署详细步骤

已于 2022-11-06 16:49:09 修改
阅读量3.1k 收藏 21
点赞数 2
文章标签: elk docker elasticsearch
于 2022-11-03 14:52:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cz860410/article/details/127670310
版权

一、前言

  • 日志主要包括系统日志和应用程序日志,运维和开发人员可以通过日志了解服务器中软硬件的信息,检查应用程序或系统的故障,了解故障出现的原因,以便解决问题。分析日志可以更清楚的了解服务器的状态和系统安全状况,从而可以维护服务器稳定运行。

二、ELK简介

  • ELK主要由ElasticSearch、Logstash和Kibana三个开源工具组成,还有其他专门由于收集数据的轻量型数据采集器Beats。
  • Elasticsearch :分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 是用Java 基于 Lucene 开发,现在使用最广的开源搜索引擎之一,Wikipedia 、StackOverflow、Github 等都基于它来构建自己的搜索引擎。在elasticsearch中,所有节点的数据是均等的。
  • Logstash :数据收集处理引擎。支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储以供后续使用。
  • Kibana :可视化化平台。它能够搜索、展示存储在 Elasticsearch 中索引数据。使用它可以很方便的用图表、表格、地图展示和分析数据。
  • Filebeat:轻量级数据收集引擎。相对于Logstash所占用的系统资源来说,Filebeat 所占用的系统资源几乎是微乎及微。它是基于原先 Logstash-fowarder 的源码改造出来。换句话说:Filebeat就是新版的 Logstash-fowarder,也会是 ELK Stack 在 Agent 的第一选择。

三、版本说明

  • Elasticsearch、Logstash、Kibana、Filebeat安装的版本号必须全部一致,不然会出现kibana无法显示web页面。

  • ELK常见的几种架构:

    1.Elasticsearch + Logstash + Kibana
    这是一种最简单的架构。这种架构,通过logstash收集日志,Elasticsearch分析日志,然后在Kibana(web界面)中展示。这种架构虽然是官网介绍里的方式,但是往往在生产中很少使用。
    2.Elasticsearch + Logstash + filebeat + Kibana
    与上一种架构相比,这种架构增加了一个filebeat模块。filebeat是一个轻量的日志收集代理,用来部署在客户端,优势是消耗非常少的资源(较logstash), 所以生产中,往往会采取这种架构方式,但是这种架构有一个缺点,当logstash出现故障, 会造成日志的丢失。
    3.Elasticsearch + Logstash + filebeat + redis(也可以是其他中间件,比如RabbitMQ) + Kibana
    这种架构是上面那个架构的完善版,通过增加中间件,来避免数据的丢失。当Logstash出现故障,日志还是存在中间件中,当Logstash再次启动,则会读取中间件中积压的日志。
    本次安装ELK根据自身需求选择了Elasticsearch + Logstash + filebeat + Kibana架构

四、安装部署

  • 创建docker网络

    docker network create -d bridge elastic

  • Elasticsearch

    1. 版本:8.4.3
    2. 拉取docker镜像
    docker pull elasticsearch:8.4.3
    3. 第一次执行docker脚本
    docker run -it \
    -p 9200:9200 \
    -p 9300:9300 \
    --name elasticsearch \
    --net elastic \
    -e ES_JAVA_OPTS="-Xms1g -Xmx1g" \
    -e "discovery.type=single-node" \
    -e LANG=C.UTF-8 \
    -e LC_ALL=C.UTF-8 \
    elasticsearch:8.4.3

    注意第一次执行脚本不要加-d这个参数,否则看不到服务首次运行时生成的随机密码和随机enrollment token

    4. 可以看到控制台的信息,找到这个信息并保存下来

    image.png

    5. 创建Elasticsearch挂载目录
    mkdir /home/xxx/elk8.4.3/elasticsearch
    6. 给创建的文件夹授权
    sudo chown -R 1000:1000 /home/xxx/elk8.4.3/elasticsearch
    7、将容器内的文件复制到主机上
    docker cp elasticsearch:/usr/share/elasticsearch/config /home/xxx/elk8.4.3/elasticsearch/        

    docker cp elasticsearch:/usr/share/elasticsearch/data /home/xxx/elk8.4.3/elasticsearch/

    docker cp elasticsearch:/usr/share/elasticsearch/plugins /home/xxx/elk8.4.3/elasticsearch/

    docker cp elasticsearch:/usr/share/elasticsearch/logs /home/xxx/elk8.4.3/elasticsearch/
    8. 删除容器
    docker rm -f elasticsearch
    9.修改docker脚本,增加-v挂载目录和-d参数
    docker run -it \
    -d \
    -p 9200:9200 \
    -p 9300:9300 \
    --name elasticsearch \
    --net elastic \
    -e ES_JAVA_OPTS="-Xms1g -Xmx1g" \
    -e "discovery.type=single-node" \
    -e LANG=C.UTF-8 \
    -e LC_ALL=C.UTF-8 \
    -v /home/xxx/elk8.4.3/elasticsearch/config:/usr/share/elasticsearch/config \
    -v /home/xxx/elk8.4.3/elasticsearch/data:/usr/share/elasticsearch/data \
    -v /home/xxx/elk8.4.3/elasticsearch/plugins:/usr/share/elasticsearch/plugins \
    -v /home/xxx/elk8.4.3/elasticsearch/logs:/usr/share/elasticsearch/logs \
    elasticsearch:8.4.3
    10.修改配置/home/xxx/elk8.4.3/elasticsearch/config/elasticsearch.yml:
    • 增加:xpack.monitoring.collection.enabled: true
    • 说明:添加这个配置以后在kibana中才会显示联机状态,否则会显示脱机状态
    • 参考配置: image.png
    • 重启容器
    docker restart elasticsearch
    11.Elasticsearch8以上默认开启了X-Pack 安全功能
    • 说明:请求Elasticsearch必须使用https
    • 测试:https://ip:9200
      image.png
    • 用户名就是:elastic
    • 密码在第一次启动时保存下来的信息中查找
    • 然后看到这种信息说明启动成功了在这里插入图片描述

  • Kibana

    1. 版本:8.4.3
    2. 拉取镜像
    docker pull kibana:8.4.3
    3. 第一次执行docker启动脚本
    docker run -it \
	-d \
	--restart=always \
	--log-driver json-file \
	--log-opt max-size=100m \
	--log-opt max-file=2 \
	--name kibana \
	-p 5601:5601 \
	--net elastic \
	kibana:8.4.3
    4. 创建kibana挂载目录
    mkdir /home/xxx/elk8.4.3/kibana
    5. 给创建的文件授权
    sudo chown -R 1000:1000 /home/xxx/elk8.4.3/kibana
    6、将容器内的文件复制到主机上
    docker cp kibana:/usr/share/kibana/config /home/xxx/elk8.4.3/kibana/        

    docker cp kibana:/usr/share/kibana/data /home/xxx/elk8.4.3/kibana/        

    docker cp kibana:/usr/share/kibana/plugins /home/xxx/elk8.4.3/kibana/        

    docker cp kibana:/usr/share/kibana/logs /home/xxx/elk8.4.3/kibana/
    7.修改配置文件/home/xxx/elk8.4.3/kibana/config/kibana.yml:
    • 增加:i18n.locale: “zh-CN”
    • 修改:elasticsearch.hosts: [‘https://172.20.0.2:9200’],将IP改成elasticsearch的docker ip,注意一定要用https
    • 修改:xpack.fleet.outputs: [{id: fleet-default-output, name: default, is_default: true, is_default_monitoring: true, type: elasticsearch, hosts: [‘https://172.20.0.2:9200’], ca_trusted_fingerprint: xxxxxxxxxx}]
      将IP改成elasticsearch的docker ip,注意一定要用https
      image.png
    8. 删除容器
    docker rm -f kibana
    9. 修改docker启动脚本,增加挂载目录
    docker run -it \
	-d \
	--restart=always \
	--log-driver json-file \
	--log-opt max-size=100m \
	--log-opt max-file=2 \
	--name kibana \
	-p 5601:5601 \
	--net elastic \
	-v /home/xxx/elk8.4.3/kibana/config:/usr/share/kibana/config \
	-v /home/xxx/elk8.4.3/kibana/data:/usr/share/kibana/data \
	-v /home/xxx/elk8.4.3/kibana/plugins:/usr/share/kibana/plugins \
	-v /home/xxx/elk8.4.3/kibana/logs:/usr/share/kibana/logs \
	kibana:8.4.3
    10. 查看kibana日志
    docker logs -f kibana
    11. 打开浏览器http://ip:5601,使用elastic用户的密码进行认证

    • 第一次访问改链接的时候需要填入令牌,令牌就是第一次启动elasticsearch时保存的信息中的token,注意这个token只有30分钟的有效期,如果过期了只能进入容器重置token
      在这里插入图片描述

    • 重置token:进入容器执行

    /bin/elasticsearch-create-enrollment-token -s kibana --url "https://127.0.0.1:9200"
    12. 输入token以后会看到一个验证码框,验证码从kibana的日志中获取

在这里插入图片描述

13. 输入用户名:elastic,密码:第一次启动elasticsearch保存的密码

在这里插入图片描述

  • Logstash

    1. 版本:8.4.3
    2. 拉取镜像
    docker pull logstash:8.4.3
    3. 第一次执行docker启动脚本
    docker run -it \
	-d \
	--name logstash \
	-p 9600:9600 \
	-p 5044:5044 \
	--net elastic \
	logstash:8.4.3
    4. 创建logstash挂载目录
    mkdir /home/xxx/elk8.4.3/logstash
    5. 给创建的文件授权
    sudo chown -R 1000:1000 /home/xxx/elk8.4.3/logstash
    6. 将容器内的文件复制到主机上
    docker cp logstash:/usr/share/logstash/config /home/xxx/elk8.4.3/logstash/ 

    docker cp logstash:/usr/share/logstash/pipeline /home/xxx/elk8.4.3/logstash/
    7. 将/home/xxx/elk8.4.3/logstash/elasticsearch/config/certs复制到/home/xxx/elk8.4.3/logstash/config/certs
    sudo cp /home/xxx/elk8.4.3/logstash/elasticsearch/config/certs /home/xxx/elk8.4.3/logstash/config/certs
    8. 修改配置/home/xxx/elk8.4.3/logstash/config/logstash.yml
    http.host: "0.0.0.0"
xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.hosts: [ "https://172.20.0.2:9200" ]
xpack.monitoring.elasticsearch.username: "elastic"
xpack.monitoring.elasticsearch.password: "第一次启动elasticsearch是保存的信息中查找"
xpack.monitoring.elasticsearch.ssl.certificate_authority: "/usr/share/logstash/config/certs/http_ca.crt"
xpack.monitoring.elasticsearch.ssl.ca_trusted_fingerprint: "第一次启动elasticsearch是保存的信息中查找"
    注意: https://172.20.0.2:9200,必须是https,IP是elasticsearch的docker IP
    9. 修改配置/home/xxx/elk8.4.3/logstash/pipeline/logstash.conf
    input {
  beats {
    port => 5044
  }
}

filter {
  date {
    match => [ "@timestamp", "yyyy-MM-dd HH:mm:ss Z" ]
  }
  mutate {
    remove_field => ["@version", "agent", "cloud", "host", "input", "log", "tags", "_index", "_source", "ecs", "event"]
  }
}

output {
  elasticsearch {
    hosts => ["https://172.20.0.2:9200"]
    index => "server-%{+YYYY.MM.dd}"
    ssl => true
    ssl_certificate_verification => false
    cacert => "/usr/share/logstash/config/certs/http_ca.crt"
    ca_trusted_fingerprint => "第一次启动elasticsearch是保存的信息中查找"
    user => "elastic"
    password => "第一次启动elasticsearch是保存的信息中查找"
  }
}
    注意: https://172.20.0.2:9200,必须是https,IP是elasticsearch的docker IP
    index 是索引名称
    10. 删除容器
    docker rm -f logstash
    11. 修改docker启动命令,加上-v挂载目录
    docker run -it \
	-d \
	--name logstash \
	-p 9600:9600 \
	-p 5044:5044 \
	--net elastic \
	-v /home/appuser/docker-images/elk8_4_3/logstash/config:/usr/share/logstash/config \
	-v /home/appuser/docker-images/elk8_4_3/logstash/pipeline:/usr/share/logstash/pipeline \
	logstash:8.4.3

  • filebeat

    1. 版本:8.4.3
    2. 拉取镜像
    docker pull elastic/filebeat:8.4.3
    3. 第一次执行docker启动脚本
    docker run -it \
	-d \
	--name filebeat \
	--network host \
	-e TZ=Asia/Shanghai \
	elastic/filebeat:8.4.3 \
	filebeat -e  -c /usr/share/filebeat/filebeat.yml
    4. 创建filebeat挂载目录
    mkdir /home/xxx/elk8.4.3/filebeat
    5. 给创建的文件授权
    sudo chown -R 1000:1000 /home/xxx/elk8.4.3/filebeat
    6. 将容器内的文件复制到主机上
    docker cp filebeat:/usr/share/filebeat/filebeat.yml /home/xxx/elk8.4.3/filebeat/ 

    docker cp filebeat:/usr/share/filebeat/data /home/xxx/elk8.4.3/filebeat/ 

    docker cp filebeat:/usr/share/filebeat/logs /home/xxx/elk8.4.3/filebeat/
    7. 修改配置/home/xxx/elk8.4.3/filebeat/filebeat.yml
    filebeat.config:
  modules:
    path: ${path.config}/modules.d/*.yml
    reload.enabled: false

processors:
  - add_cloud_metadata: ~
  - add_docker_metadata: ~

output.logstash:
  enabled: true
  # The Logstash hosts
  hosts: ["localhost:5044"]

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /usr/share/filebeat/target/*/*/*.log. # 这个路径是需要收集的日志路径,是docker容器中的路径
  scan_frequency: 10s
  exclude_lines: ['HEAD']
  exclude_lines: ['HTTP/1.1']
  multiline.pattern: '^[[:space:]]+(at|\.{3})\b|Exception|捕获异常'
  multiline.negate: false
  multiline.match: after
    8. 删除容器
    docker rm -f filebeat
    9. 修改docker启动脚本,增加-v挂载目录
    docker run -it \
	-d \
	--name filebeat \
	--network host \
	-e TZ=Asia/Shanghai \
	-v /home/xxx/log:/usr/share/filebeat/target \
	-v /home/xxx/elk8.4.3/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml \
	-v /home/xxx/elk8.4.3/filebeat/data:/usr/share/filebeat/data \
  -v /home/xxx/elk8.4.3/filebeat/logs:/usr/share/filebeat/logs \
	elastic/filebeat:8.4.3 \
	filebeat -e  -c /usr/share/filebeat/filebeat.yml
    注意: -v /home/xxx/log:/usr/share/filebeat/target 这个是你需要收集的日志目录,需要挂载到容器中

  • 配置完成

    • 在kibana中查看信息
      image.png
    • 查看索引
      image.png
      image.png
      如果能看到自己配置的索引说明安装配置成功
    • 查看日志
      image.png
    • 如果没有你的日志,需要先创建数据视图,选择你创建的索引
      image.png
季风007
关注
【云原生 • DockerELK 8.4.3 docker 保姆安装部署详细步骤
qq_39093474的博客
04-21 981
之前我们已经使用过软件进行过安装了,不知道的可以看我之前写的文章ELK日志系统搭建完整详细步骤ELK主要由ElasticSearch、Logstash和Kibana三个开源工具组成,还有其他专门由于收集数据的轻量型数据采集器Beats。Elasticsearch :分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。
docker部署elk
m0_52369979的博客
03-13 281
docker部署elk亲测可用
ELK日志分析集群部署
weixin_67497034的博客
07-14 823
将APPservers的日志进行集中化管理到Logstashagent。将日志格式化(Logstash)并输出到Elasticsearchcluster对格式化后的数据进行索引和存储(Elasticsearch)前端数据的展示(Kibana)可以在线查看界面化展示。提供了一个分布式多用户能力的全文搜索引擎;是一个基于Lucene的搜索服务器;(3)基于restfulweb接口;使用java开发;作为apache许可条款下的开放源码发布,是第二流行的企业搜索引擎;......
Windows下安装ELK8(elasticsearch、logstash、kibana)及相关工具插件
最新发布
大头皮鞋的博客
09-04 1258
Windows下安装ELK8(elasticsearch、logstash、kibana)及相关工具插件
ELK安装使用教程
weixin_34334744的博客
10-19 254
一、说明 ELK是当下流行的日志监控系统。ELKElasticsearch、Logstash、Kibana三个软件的统称。 在ELK日志监控系统中,Logstash负责读取和结构化各类日志+发送给ElasticsearchElasticsearch负责存储Logstash发送过来的日志+响应Kibana的查询,Kibana负责从Elasticsearch查询内容+在web界面中向用户展示。  ...
ELK部署安装
youcan_doit的博客
07-06 2435
ELK部署安装
安装Sqoop及环境配置
May_J_Oldhu的博客
09-26 534
安装Sqoop一.安装Sqoop及环境配置1.前提条件2.下载并解压3.修改配置文件4.拷贝JDBC驱动5.测试 Sqoop 是否能够成功连接数据库 一.安装Sqoop及环境配置 1.前提条件 安装Sqoop的前提已经具备Java和Hadoop,Hive,Zookeeper,Hbase的环境 2.下载并解压 (1)上传安装包sqoop-1.4.6-cdh5.14.2.tar.gz到虚拟机需要安装的文件夹中(我直接放在我要安装的文件夹下/opt) (2)解压sqoop安装包到指定文件夹 [root@hadoo
ELK安装部署
干货满满~
02-09 866
ES、Kibana、Logstash、Filebeat尽量安装同一版本,本文安装的是6.2.3版本。 环境准备:关闭防火墙、SElinux。需java环境,采用的jdk1.8。 Filebeat->Kafka->Logstash->ES->Kibana ES、Kibana IP:10.0.1.190 安装目录:ES:/data/elasticsearch Kibana:/usr/local/kibana Logstash IP:10...
elk或efk日志报警elastalert-docker安装-仅邮件
06-29
elk或efk日志报警elastalert-docker安装-仅邮件
docker安装ELK详细步骤
m0_67401761的博客
06-02 695
系统配置:CentOS7.6 4核4G ELK版本:7.7.1 elastic官网地址:https://www.elastic.co/cn/ elastic产品地址:https://www.elastic.co/cn/elastic-stack yum源地址:https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum前言 日志主要包括系统日志和应用程序日志,运维和开发人员可以通过日志了解服务器中软硬件的信息,检查应用程序或系统的故障,了解故障出现的原因,以便解
ELK安装步骤_Linux
03-11
一、 安装 jdk8 tar –zxvf jdk-8u151-linux-x64.tar.gz 创建运行ELK的用户 [root@localhost local]# groupadd elk [root@localhost local]# useradd -g elk elk chown -R elk:elk /elk vi /etc/profile export ES_JAVA_HOME=/mydata/elk/jdk1.8.0_151 ulimit -u 4096 [root@localhost local]# source /etc/profile 配置limit相关参数 [root@localhost local]# vim /etc/security/limits.conf 添加以下内容 * soft nproc 65536 * hard nproc 65536 * soft nofile 65536 * hard nofile 65536
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELKElasticsearch,logstash和kibana) 已针对Windows使用dockerElasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
ELk安装部署
天涯ur的博客
10-28 717
ELK安装文档 本实验是将ELK的3个组件安装在了一台主机上!当然也可以安装在3个主机上,一个组件一台主机 1.部署环境: 系统:Centos7.5 同步时间: yum -y install ntpdate ntpdate 0.cn.pool.ntp.org 2.上传ELK安装包至服务器: 3.安装ELK组件 rpm -ivh jdk-8u131-linux-x64_.rpm rpm -iv...
ELK详细安装部署
song12345xiao的博客
07-26 5054
ELK详细安装部署
ELK 安装部署
IoTHub - 物联网开源技术社区
03-12 1024
微服务日志通过 Logback 写到 MQ(kafka或rabbitmq),logstash 读取 MQ 把日志写到Elasticsearch,通过 Kibana 查询。
docker部署elk详细步骤
08-16
当然,我可以帮你提供 Docker 部署 ELKElasticsearch, Logstash, Kibana)的详细步骤。以下是一般的步骤: 1. 安装 DockerDocker Compose:确保你的系统上已经安装DockerDocker Compose。你可以根据你的操作系统去安装它们。 2. 创建一个目录并进入:在你的系统上选择一个适当的目录来存放你的 ELK 配置文件。然后在命令行中进入该目录。 3. 创建一个 Docker Compose 文件:在你选择的目录中创建一个名为 `docker-compose.yml` 的文件,并将以下内容粘贴进去: ``` version: '3' services: elasticsearch: image: docker.elastic.co/elasticsearch/elasticsearch:7.10.1 container_name: elasticsearch ports: - 9200:9200 environment: - discovery.type=single-node logstash: image: docker.elastic.co/logstash/logstash:7.10.1 container_name: logstash volumes: - ./logstash.conf:/usr/share/logstash/pipeline/logstash.conf ports: - 5000:5000 kibana: image: docker.elastic.co/kibana/kibana:7.10.1 container_name: kibana ports: - 5601:5601 depends_on: - elasticsearch ``` 4. 创建 Logstash 配置文件:在同一目录下创建一个名为 `logstash.conf` 的文件,并将以下内容粘贴进去(这只是一个示例配置,你可以根据你的需求进行修改): ``` input { tcp { port => 5000 } } output { elasticsearch { hosts => ["elasticsearch:9200"]
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值