CentOS Docker使用ELK监听日志

最新推荐文章于 2022-12-05 23:45:12 发布
最新推荐文章于 2022-12-05 23:45:12 发布
阅读量863 收藏
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daily886/article/details/103709165
版权

前面我们学习如何搭建httpd服务:https://blog.csdn.net/daily886/article/details/103694649

下面我们ELK开源的日志管理来管理httpd日志

ELK介绍

在开源的日志管理方案中,最出名的莫过于 ELK 了。ELK 是三个软件的合称:Elasticsearch、Logstash、Kibana。

Elasticsearch
一个近乎实时查询的全文搜索引擎。Elasticsearch 的设计目标就是要能够处理和搜索巨量的日志数据。

Logstash
读取原始日志,并对其进行分析和过滤,然后将其转发给其他组件(比如 Elasticsearch)进行索引或存储。Logstash 支持丰富的 Input 和 Output 类型,能够处理各种应用的日志。

Kibana
一个基于 JavaScript 的 Web 图形界面程序,专门用于可视化 Elasticsearch 的数据。Kibana 能够查询 Elasticsearch 并通过丰富的图表展示结果。用户可以创建 Dashboard 来监控系统的日志。

首先,我们使用后台方式运行httpd

# 因为我们在启动日志的时候没有用-d 参数,httpd 容器以前台方式启动,日志会直接打印在当前的终端窗口。
# 如果加上-d 参数以后台方式运行容器,我们就看不到输出的日志了。

[root@localhost docker]# docker run -p 32763:80 -v $PWD/apache2/conf/httpd.conf:/usr/local/apache2/conf/httpd.conf -v $PWD/apache2/htdocs/:/usr/local/apache2/htdocs/ -v $PWD/apache2/logs/:/usr/local/apache2/logs/ -d httpd

[root@localhost docker]# docker ps -a
CONTAINER ID        IMAGE               COMMAND              CREATED             STATUS              PORTS                   NAMES
a9731278177d        httpd               "httpd-foreground"   20 minutes ago      Up 20 minutes       0.0.0.0:32763->80/tcp   magical_brown

容器后台运行后,查看容器日志推荐的方法是用docker logs命令。

# docker logs能够打印出自容器启动以来完整的日志,并且-f 参数可以继续打印出新产生的日志,效果上与 Linux 命令tail -f 一样。
[root@localhost docker]# docker logs -f a9731278177d
[Thu Dec 26 01:03:29.572256 2019] [mpm_event:notice] [pid 1:tid 139793505739904] AH00489: Apache/2.4.41 (Unix) configured -- resuming normal operations
[Thu Dec 26 01:03:29.578104 2019] [mpm_event:info] [pid 1:tid 139793505739904] AH00490: Server built: Nov 23 2019 00:34:14
[Thu Dec 26 01:03:29.578111 2019] [core:notice] [pid 1:tid 139793505739904] AH00094: Command line: 'httpd -D FOREGROUND'
[Thu Dec 26 01:03:29.578114 2019] [core:debug] [pid 1:tid 139793505739904] log.c(1571): AH02639: Using SO_REUSEPORT: yes (1)
[Thu Dec 26 01:03:29.574053 2019] [mpm_event:debug] [pid 7:tid 139793504249600] event.c(2315): AH02471: start_threads: Using epoll (wakeable)
[Thu Dec 26 01:03:29.574142 2019] [mpm_event:debug] [pid 8:tid 139793504249600] event.c(2315): AH02471: start_threads: Using epoll (wakeable)
[Thu Dec 26 01:03:29.574196 2019] [mpm_event:debug] [pid 9:tid 139793504249600] event.c(2315): AH02471: start_threads: Using epoll (wakeable)

Docker 提供了多种日志机制帮助用户从运行的容器中提取日志信息。这些机制被称作 logging driver。

Docker 的默认 logging driver 是json-file。

[root@localhost docker]# docker info | grep "Logging Driver"
 Logging Driver: json-file

# 查看容器日志文件位置
[root@localhost docker]# find / -name *-json.log
/var/lib/docker/containers/a9731278177d05d4d6db1013387eb580cb7e923ab9dc9cfb6f10fb9958dfab91/a9731278177d05d4d6db1013387eb580cb7e923ab9dc9cfb6f10fb9958dfab91-json.log


# jason-file会将容器的日志保存在 json 文件中,Docker 负责格式化其内容并输出到 STDOUT 和 STDERR。
# 我们可以在 Host 的容器目录中找到这个文件,器路径为 /var/lib/docker/containers/<contariner ID>/<contariner ID>-json.log

ELK日志处理流程

Logstash 负责从各个 Docker 容器中提取日志,Logstash将日志转发到 Elasticsearch 进行索引和保存,Kibana 分析和可视化数据。

部署ELK

安装java环境

yum install java-1.8.0* -y

安装elk,请预留2.5G的硬盘空间,如果没有该镜像,系统自动搜索安装

[root@localhost ~]# docker run -p 5601:5601 -p 9200:9200 -p 5044:5044 -d --name elk sebp/elk
Unable to find image 'sebp/elk:latest' locally
Digest: sha256:6763f8c63cd7c858b527b831e5f67e803652cc229118aeaf23b32549f7f14032
Status: Downloaded newer image for sebp/elk:latest
0075dfdc191bd972560a59fac16aacc41f85aa26fd4837819fb190f82f947f16


# 如果没有启动成功,重新启动一次
[root@localhost docker]# docker start elk
elk

# 查看日志
[root@localhost docker]# docker logs -f 0075dfdc191b

{"type":"log","@timestamp":"2019-12-27T04:39:47Z","tags":["info","http","server","Kibana"],"pid":274,"message":"http server running at http://0.0.0.0:5601"}


############### 注意如果主机配置较低,ELK启动需要多一点的时间,请耐心等待直到出现 http server running at http://0.0.0.0:5601 ,即启动成功

# 查看是否启动成功
[root@localhost ~]# docker ps 
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                                                                              NAMES
0075dfdc191b        sebp/elk            "/usr/local/bin/star…"   40 seconds ago      Up 39 seconds       0.0.0.0:5044->5044/tcp, 0.0.0.0:5601->5601/tcp, 0.0.0.0:9200->9200/tcp, 9300/tcp   elk

 

如果出现下面的错误

max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

执行下面的命令后,再重新启动 ELK

sysctl -w vm.max_map_count=262144

如果出现下面错误,刷新后再试

Kibana server is not ready yet

启动成功后,访问:http://10.10.87.244:5601  即可看到效果:

当前 Kibana 没有可显示的数据,因为当前 Elasticsearch 还没有任何日志数据。

接下来的工作就是将 Docker 的日志导入 ELK

下载安装filebeat

前面我们已经知道 Docker 会将容器日志记录到 /var/lib/docker/containers/<contariner ID>/<contariner ID>-json.log,那么只要我们能够将此文件发送给 ELK 就可以实现日志管理。

要实现这一步其实不难,因为 ELK 提供了一个配套小工具 Filebeat,它能将指定路径下的日志文件转发给 ELK。同时 Filebeat 很聪明,它会监控日志文件,当日志更新时,Filebeat 会将新的内容发送给 ELK。

filebeat下载地址:https://www.elastic.co/cn/downloads/beats/filebeat ,选择你合适的版本下载安装

下面我们安装 linux64版本:https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.5.1-linux-x86_64.tar.gz

注意:有时在创建index的时候会提示Couldn’t find any Elasticsearch data

可以删除yum remove filebeat,然后重新下载配置即可

# 下载
[root@localhost docker]# wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.5.1-linux-x86_64.tar.gz
--2019-12-26 11:45:59--  https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.5.1-linux-x86_64.tar.gz
Resolving artifacts.elastic.co (artifacts.elastic.co)... 151.101.110.222, 2a04:4e42:36::734
Connecting to artifacts.elastic.co (artifacts.elastic.co)|151.101.110.222|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 24317087 (23M) [application/x-gzip]
Saving to: ‘filebeat-7.5.1-linux-x86_64.tar.gz’

100%[================================================================================================>] 24,317,087   321KB/s   in 40s    

2019-12-26 11:46:39 (595 KB/s) - ‘filebeat-7.5.1-linux-x86_64.tar.gz’ saved [24317087/24317087]

# 查看
[root@localhost docker]# ll
total 23756
drwxr-xr-x. 12 root root      139 Nov 23 08:36 apache2
-rw-r--r--.  1 root root       56 Dec 26 10:19 daemon.json
-rw-r--r--.  1 root root 24317087 Dec 19 01:42 filebeat-7.5.1-linux-x86_64.tar.gz
-rw-------.  1 root root      244 Dec 26 10:00 key.json

# 解压
[root@localhost docker]# tar -zxvf filebeat*

# 切换到filebeat解压后的文件夹里面
[root@localhost docker]# cd filebeat*

# filebeat就是可允许程序了
[root@localhost filebeat-7.5.1-linux-x86_64]# ll
total 74792
-rw-r--r--.  1 root root   317651 Dec 17 05:56 fields.yml
-rwxr-xr-x.  1 root root 75834640 Dec 17 05:57 filebeat
-rw-r--r--.  1 root root    83274 Dec 17 05:56 filebeat.reference.yml
-rw-------.  1 root root     8236 Dec 17 05:56 filebeat.yml
drwxr-xr-x.  3 root root       15 Dec 17 05:56 kibana
-rw-r--r--.  1 root root    13675 Dec 17 05:15 LICENSE.txt
drwxr-xr-x. 38 root root     4096 Dec 17 05:56 module
drwxr-xr-x.  2 root root     4096 Dec 17 05:56 modules.d
-rw-r--r--.  1 root root   302830 Dec 17 05:16 NOTICE.txt
-rw-r--r--.  1 root root      802 Dec 17 05:58 README.md

第二步:配置filebeat

Filebeat 的配置文件为 filebeat.yml,我们需要告诉 Filebeat 两件事:

  1. 监控哪些日志文件?
  2. 将日志发送到哪里?

修改监控日志文件路径,编辑filebeat.yml

[root@localhost filebeat-7.5.1-linux-x86_64]# vi filebeat.yml

# 大概21行左右的内容,修改如下

- type: log

  # Change to true to enable this input configuration.
  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /var/lib/docker/containers/*/*.log
    - /var/log/*.log
    #- c:\programdata\elasticsearch\logs\*



###########################
:wq 保存退出

把type 设置为 log

把enabled 修改为 true

在 paths 中我们配置了两条路径:

/var/lib/docker/containers/*/*.log 是所有容器的日志文件。

/var/log/*.log 是 Host 操作系统的 log。

接下来告诉 Filebeat 将这些日志发送给 ELK。

Filebeat 可以将日志发送给 Elasticsearch 进行索引和保存;也可以先发送给 Logstash 进行分析和过滤,然后由 Logstash 转发给 Elasticsearch。

为了不引入过多的复杂性,我们这里将日志直接发送给 Elasticsearch。

编辑filebeat.yml

[root@localhost filebeat-7.5.1-linux-x86_64]# vi filebeat.yml

# 大概 149 行左右的内容,修改如下

output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["localhost:9200"]



###########################
:wq 保存退出

启动filebeat

# nohup命令:如果你正在运行一个进程,而且你觉得在退出帐户时该进程还不会结束,那么可以使用nohup命令。该命令可以在你退出帐户/关闭终端之后继续运行相应的进程。nohup就是不挂断的意思( no hang up)。
# 该命令的一般形式为:nohup 你的命令 &

[root@localhost filebeat-7.5.1-linux-x86_64]# nohup ./filebeat -e -c filebeat.yml -d publish >/dev/null 2>./filebeat.log &


############################ nohup例子 ############################################
nohup command > myout.file 2>&1 &
在上面的例子中,0 – stdin (standard input),1 – stdout (standard output),2 – stderr (standard error) 
2>&1是将标准错误(2)重定向到标准输出(&1),标准输出(&1)再被重定向输入到myout.file文件中。
############################

配置ELK并查看filebeat日志

访问我们的ELK网页端 http://10.10.87.244:5601 ,菜单选择 Management

选择 Kibana 中的 Index Patterns

选择 Create index pattern,创建索引模式

输入框填写 filebeat-* ,点击 Next step

选中 @timestamp , 点击 Create index pattern

创建索引成功后,点击左侧主菜单中的 Discover

在详情页 点击选中 filebeat-* ,即可看到 容器和 syslog 日志信息。

 

 

测试filebeat日志

[root@localhost filebeat-7.5.1-linux-x86_64]# docker run busybox sh -c 'while true; do echo "This is a log message from container busybox!"; sleep 10; done;'
Unable to find image 'busybox:latest' locally
latest: Pulling from library/busybox
bdbbaa22dec6: Pull complete 
Digest: sha256:6915be4043561d64e0ab0f8f098dc2ac48e077fe23f488ac24b665166898115a
Status: Downloaded newer image for busybox:latest
This is a log message from container busybox!
This is a log message from container busybox!
This is a log message from container busybox!
This is a log message from container busybox!

我们点击Refresh 即可看新的日志记录

也可以搜索关键字 busybox ,点击 Update ,搜索关键字

 

错误问题汇总

1、Unable to connect to Elasticsearch at http://localhost:9200错误解决方案:

需要修改elasticsearch.yml文件增加network.bind_host: 0.0.0.0。

 

 

参考:https://www.cnblogs.com/itzhao/p/11368765.html

参考:https://blog.csdn.net/wu2700222/article/details/85044117

参考:https://elasticsearch.cn/question/5496

 

daily886
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker使用filebeat+elk采集日志
weixin_43900374的博客
08-25 2244
使用docker安装filebeat并配置传输elasticsearch和logstash两种方式解析日志
【云原生 • DockerELK 8.4.3 docker 保姆级安装部署详细步骤
最新发布
qq_39093474的博客
04-21 915
之前我们已经使用过软件进行过安装了,不知道的可以看我之前写的文章ELK日志系统搭建完整详细步骤ELK主要由ElasticSearch、Logstash和Kibana三个开源工具组成,还有其他专门由于收集数据的轻量型数据采集器Beats。Elasticsearch :分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。
Kibana启动失败无法连接Elasticsearch的解决方法
梦里蓝天
03-10 1万+
报错内容 log [07:36:42.870] [warning][savedobjects-service] Unable to connect to Elasticsearch. Error: [resource_already_exists_exception] index [. kibana_task_manager_1/qQml2baVSQSHtrRXvvyQLQ] already exists, with { index_uuid=“qQml2baVSQSHtrRXvvyQLQ” &
centos上通过docker部署ELK(elasticsearch、filebeat、kibana)日志框架
fantasy_z的博客
08-20 497
第一步:开启防火墙特定端口 如果关闭了防火墙,先开启: systemctl start firewalld.service 设置开机自启动: systemctl enable firewalld.service 重启防火墙: systemctl restart firewalld.service 检查防火墙是否打开: firewall-c...
Centos 6.6 Docker安装(内网坏境)
weixin_30706691的博客
03-07 441
前言: 近期对ELK(6.1.3版本)相关内容产生了兴趣,尝试在生产环境中一台空闲的服务器上部署相关组件。虽然ElasticSearch、Logstash和Kiabana安装无问题;但由于ELK6.0以后的版本在安装ElasticSearch的head组件时,需要使用Nodejs及Grunt。查看了网上Nodejs以及Grunt安装的相关资料,几乎都是在外网环境下进行安装部署的,内网安装相关内容...
CentOS6.5 部署 ELK
eqera的专栏
12-08 1664
整体流程: 环境准备: CentOS release 6.5 (Final) Elasticsearch-6.4.0.rpm 下载:Past Releases of Elastic Stack Software | Elastic Kibana-6.4.0-x86_64.rpm 下载:Past Releases of Elastic Stack Software | Elastic logstash-6.4.0.rpm 下载:Past Releases ...
ElasticSearche导入样本数据官网链接
weixin_43114582的博客
04-26 869
ElasticSearche导入样本数据官网链接 Loading sample data 在第一次使用kibana的时候会报 You'll need to index some data into Elasticsearch before you can create an index pattern. 原因是elasticsearch中没有任何数据即不存在索引,通过官网资料导入样本数据,有数据...
elasticsearch升级后出现kibana 3 Could not contact Elasticsearch
fableboy的学习点滴
03-31 2893
在升级了最新的elasticsearch1.5之后,原来的kibana 3提示无法连接到elasticsearch的9200端口,“kibana 3 Could not contact Elasticsearch” 解决方法:在elasticsearch的配置文件config/elasticsearch.yml下添加: http.cors.allow-origin: "/.*/
最新 docker下整合ELK ElasticSearch+filebeat+logstash+kibana(版本7.14.0)
rfAsfassdASD的博客
03-06 718
centos7.x docker 20.x elk+filebeat 统一是7.14.0 本人大三,在一家小公司实习,最近公司里发版测试环境使用docker,觉得是时候学习一下docker了 于是学习了一下docker 不得不说上手之后很香。推荐到菜鸟教程学习,连接:[Docker教程](https://www.runoob.com/docker/docker-tutorial.html "Docker教程")。学习完了部署了一下elk,也是在实习的时候接触到的,elk可以收集过滤分析日志,学习了一下。附上
可以教我用centos docker-compose搭建一个springboot整合的elk
03-26
当然可以,以下是详细的步骤: 1. 安装dockerdocker-compose 在CentOS上安装DockerDocker Compose,可以使用以下命令: ...现在,您已经成功地使用Docker Compose在CentOS上搭建了一个Spring Boot整合的ELK
elasticsearch+kibana+logstash ELK资料整理
05-11
三份word文档,整理elk的相关资料。仅供新手参考
Docker——Docker安全及日志管理
weixin_59792733的博客
12-05 315
Docker——Docker安全及日志管理
Elasticsearch常见错误及解决方法
漫天雪_昆仑巅
05-08 2万+
Elasticsearch常见错误及解决方法: 1、启动时候报错:Caused by: java.net.BindException: Cannot assign requested address解决方法:打开配置文件elasticsearch.yml 将 network.host: 192.168.0.1 修改为本机IP 0.0.0.0 [2020-04-03T19:41:11,382]...
Kibana 安装部署环境
Master_chaoAndQi的博客
11-10 585
1 下载 Kibana   安装包 (安装版本和elasticsearch保持一致) wget https://artifacts.elastic.co/downloads/kibana/kibana-6.4.3-linux-x86_64.tar.gz 2 官网安装教程 https://www.elastic.co/guide/en/kibana/6.4/install.html h...
Elasticsearch索引迁移的四种方式
热门推荐
铭毅天下Elasticsearch
03-23 7万+
本文主要讲解Elasticsearch下实现索引迁移的几种方式。 0、引言 将ES中的索引拷贝到其他ES中,或者将ES整体迁移,研究发现有两个开源的工具:elaticserch-dump和 Elasticsearch-Exporter。 除此之外,logstash在索引同步、迁移方面的作用也很大。 两工具及logstash实现迁移的介绍、安装、使用、验证效果等展示如下: 1、el...
ElasticSearch】elasticdump 导入/导出数据及常见报错
走在搬砖的路上!
12-06 1万+
一、环境准备 1、安装elasticdump root权限下,终端中输入 1 # npm install elasticdump -g -g表示全局可用,直接在终端输入 elasticdump --version,出现版本信息即表示安装成功,如下 1 2 # elasticdump --version 7.1.1 二、常用的导入导出方法 导出索引的格式 #格式:elasticdump -...
使用kibana来进行ElasticSearch的信息查询检索
tianyaleixiaowu的专栏
08-03 6万+
大家经常会听到使用ELK搭建日志管理平台、完成日志聚合检索的功能,那么这个平台到底是个什么概念,怎么搭建,怎么使用呢?ELK包括ElasticSearch(数据存储、快速查询)、logstash(日志搜集)、kibana(展示ElasticSearch数据的图形界面)。kibana是一个图形界面,可以在上面条件检索存储在ElasticSearch里数据,相当于提供了ES的可视化操作管理器。大概长下
CentOS7.x使用Docker快速部署ELK stack
"Cenos7.x使用docker部署ELK( Elastic Stack)无脑教程" 这篇教程主要介绍了...这个教程提供了一个简洁明了的方法,帮助用户在CentOS7.x系统上利用Docker快速部署和运行ELK堆栈,便于对系统日志进行有效管理和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值