docker搭建elk+filebeat

已于 2023-04-12 18:25:25 修改
阅读量808 收藏 2
点赞数
分类专栏: docker elk 文章标签: docker elk
于 2023-04-06 11:57:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31745863/article/details/129986232
版权

0. 架构

版本号:

  • ElasticSearch -7.4.2
  • Kibana - 7.4.2
  • logstash - 7.4.2
  • filebeat - 7.4.2

image-20230406113505447

如果后续日志数据海量也可以加上缓存redis或者消息队列进行升级

前言:

  • 需要先自定义一个docker网络,来使elasticsearch和logstash的ip地址固定,不然的话docker重启后可能会导致ip变动出现的问题
  • 自定义网络后在docker run 时指定自己想要的自定义ip,不让docker自动给你分配

1. docker创建自定义网络

章节一只是创建网络,如果要使用该网络是在docker run时指定的,后续章节会docker run是注意指定ip即可

#查看docker的网络
docker network ls

#创建一个网段在172.22.1.x 和网关为172.22.1.1的桥接类型网络名叫elk-net
docker network create --driver bridge --subnet 172.22.1.0/24 --gateway 172.22.1.1 elk-net
#查看docker网络,网络是否创建成功
docker network ls

image-20230412175156554

2. docker创建ElasticSearch实例

同时指定elasticsearch容器内网ip为172.22.1.2

#先将es的数据与配置与需要映射的文件夹创建好
mkdir -p /mydata/elasticsearch/config
mkdir -p /mydata/elasticsearch/data
#配置es地址
echo "http.host: 0.0.0.0" >> /mydata/elasticsearch/config/elasticsearch.yml
#保证权限
chmod -R 777 /mydata/elasticsearch/ 
#创建并启动实例
docker run --name elasticsearch \
--network elk-net --ip 172.22.1.2 \
-p 9200:9200 -p 9300:9300 \
-e "discovery.type=single-node" \-e ES_JAVA_OPTS="-Xms64m -Xmx512m" \
-v /mydata/elasticsearch/config/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml \
-v /mydata/elasticsearch/data:/usr/share/elasticsearch/data \
-v /mydata/elasticsearch/plugins:/usr/share/elasticsearch/plugins \
-d elasticsearch:7.4.2

#查看容器的ip是否是我们自己分配的ip,例如下查看容器名称为elasticsearch的ip(容器起来后才能看到)
docker inspect elasticsearch  |grep IPAddress

image-20230412175543665

测试是否搭建成功:http://127.0.0.1:9200/

image-20230404104902375

3. 创建Kibana实例

同时指定elasticsearch容器内网ip为172.22.1.3

#不能使用公网ip,使用内网es分配的ip启动kibana ,以下命令查看elasticsearch内网ip为172.22.1.2
docker inspect elasticsearch  |grep IPAddress
#注意配置自己的IP地址
docker run --network elk-net --ip 172.22.1.3 \
--name kibana -e ELASTICSEARCH_HOSTS=http://172.22.1.2:9200 -p 5601:5601  -d kibana:7.4.2

测试是否搭建成功:http://127.0.0.1:5601/

image-20230404110450572

4. 创建logstash

mkdir -p /mydata/logstash/config
chmod -777 /mydata/logstash

创建logstash.yml

#创建logstash.yml配置文件
vim /mydata/logstash/config/logstash.yml
#文件内容如下:
http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://172.22.1.2:9200" ]

创建logstash.config

#创建logstash.config配置文件
vim /mydata/logstash/config/logstash.config
#文件内容如下:
# 从filebeat中输入
input {
  beats {
       port => "5044"
  }
}
 
 
# 输出到es中
output {
    # 推荐下面这种写法,比较简洁
    elasticsearch {
    hosts => [ "172.22.1.2:9200"]
    # 刷新频率
    #flush_size => 1000
    #es中创建索引的名称(注意 index里面不能存在大写字符)
    index => "%{[fields][appname]}-%{+YYYY.MM.dd}"
    document_type => "log"
    }
}

启动logstash

同时指定logstash容器内网ip为172.22.1.4

docker run --network elk-net --ip 172.22.1.4 \
-p 5044:5044 -p 4560:4560 -d --name logstash \
-v /mydata/logstash/config/logstash.conf:/usr/share/logstash/pipeline/logstash.conf:rw \
-v /mydata/logstash/config/logstash.yml:/usr/share/logstash/config/logstash.yml:rw \
logstash:7.4.2

5. 创建filebeat

创建外挂目录

mkdir -p /mydata/filebeat/data
mkdir -p /mydata/filebeat/config
mkdir -p /mydata/filebeat/log
chmod 777 /mydata/filebeat/

查询logstash内网地址

#不能使用公网ip,使用内网es分配的ip启动kibana ,以下命令查看logstash内网ip为172.22.1.4
docker inspect logstash  |grep IPAddress

创建filebeat.yml配置文件

touch /mydata/filebeat/config/filebeat.yml

filebeat.yml内容:

# 设置filebeat的输入为文件输入
filebeat.inputs:
# 这里可以配置多个path,采集不同应用服务的日志,然后在logstash中按照应用服务名为index保存到es中
- type: log
  enabled: true
  # 采集指定目录的日志(模拟采集第一个应用服务的日志)
  paths:
    - /mydata/filebeat/log/*.log
  # 指定应用程序日志type,方便后面logstash在es中对不同的应用服务日志创建不同的索引
  fields:
    appname: test-admin1
  # 将属性放到根下 比如 appname 属性,在其他地方访问直接 [appname] 即可访问,不开启的话需要 [fields][appname]才能访问
  #fields_under_root: true

- type: log
  enabled: true
  # 采集指定目录的日志(模拟采集第二个应用服务的日志)
  paths:
    - /mydata/filebeat/log/*.log
  # 指定应用程序日志type,方便后面logstash在es中对不同的应用服务日志创建不同的索引
  fields:
    appname: test-admin
  #fields_under_root: true
# 指定索引的分区数
setup.template.settings:
  index.number_of_shards: 3

#指定logstash的配置,日志采集后输出到logstash中
output.logstash:
  hosts: ["172.22.1.4:5044"]

注意/mydata/filebeat/log/*.log是我们容器内部的日子扫描路径,如果是使用docker的话需要外挂该目录不然filebeat扫描不到日志

启动filebeat:外挂日志目录和配置文件

同时指定filebeat容器内网ip为172.22.1.5

filebeat有需要的话可以多启动几个,只需要指定不同的外挂地址即可,就和架构图一致了

docker run -d \
--network elk-net --ip 172.22.1.5 \
--name=filebeat \
-v /mydata/filebeat/log/:/usr/share/filebeat/logs \
-v /mydata/filebeat/config/filebeat.yml:/usr/share/filebeat/filebeat.yml \
docker.elastic.co/beats/filebeat:7.4.2

6. 导入日志进行测试

我将日志导入到我安装docker的机器上模拟日志输出

image-20230406114357933

此时filebeat是会检测到的,会输出一下日志

image-20230406114456004

然后我们上Kibana发现有日志导入es成功

image-20230406112104378

_院长大人_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Docker搭建ELK日志系统的方法示例
01-10
以下安装都是以 ~/ 目录作为安装根目录。 ElasticSearch 下载镜像: $ sudo docker pull elasticsearch:5.5.0 运行ElasticSearch容器: $ sudo docker run -it -d -p 9200:9200 -p 9300:9300 \ -v ~/elasticsearch/data:/usr/share/elasticsearch/data \ --name myes elasticsearch:5.5.0 特别注意的是如果使用v6以上版本会出现jdk的错误,我们查看日志 $ docker logs -f myes
Centos7 docker-compose安装ELK+Filebeat.zip
10-16
在IT行业中,ELK(Elasticsearch、Logstash、Kibana)栈是广泛...通过这个教程,你将能够在CentOS 7上搭建一个功能齐全的ELK+Filebeat日志管理平台,利用docker-compose简化部署流程,高效处理和分析服务器的日志数据。
docker-部署filebeat
ssehs的博客
10-04 4449
前言 filebeat是一个轻量级的日志收集工具,相比logstash,功能更加单一,但是占用的资源较小,下面介绍如何使用docker部署filebeat。更多信息请参考官方文档。 拉取镜像 docker pull docker.elastic.co/beats/filebeat:7.9.2 运行Filebeat设置 运行Filebeat设置命令将创建索引模式和负载可视化,指示板和机器学习工作。运行这个命令: docker run \ docker.elastic.co/beats/filebeat:7
Docker 安全及日志管理
最新发布
2301_77081516的博客
06-02 717
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。而 Docker 容器则是通过隔离的方式,将文件系统、 进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
FilebeatDocker安装
qq_34490951的博客
07-13 7534
Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读),并且转发这些信息到elasticsearch或者logstarsh中存放。以下是filebeat的工作流程:当你开启filebeat程序的时候,它会启动一个或多个探测器(prospectors)去检测你指定的日志目录或文件,对于探测器找...
docker部署filebeat
taishanduba的专栏
08-17 1347
一、背景 最近公司用到了filebeat,所以学习了下这个技术。filebeat是一个轻量级的日志采集工具,使用golang语言开发,可以将日志转发到es,kafka等。官方对filebeat提供了最全面的支持。filebeat的性能非常好,部署简单,是一个非常理想的文件采集工具。相比logstash它的内存占用更少,filebeat开发的目的也是为了替换logstash。当然也有缺点,比如filebeat官方提供的功能比较单一,往往无法满足我们的需求,我们经常把日志采集到kafka,然后借助flink等工
docker安装filebeat
sg_knight的专栏
07-15 1769
1、使用docker拉取filebeat镜像 docker pull docker.elastic.co/beats/filebeat:7.13.3 2、下载filebeat配置文件 curl -L -O https://raw.githubusercontent.com/elastic/beats/7.13/deploy/docker/filebeat.docker.yml 3、启动容器 docker run -d --name=filebeat \ --user=root \ -v /m
Docker 部署 Elasticsearch-Filebeat-Kibana
刘某的博客
03-28 1464
Elasticsearch、Filebeat 和 Kibana 是 Elastic Stack 的三个主要组件,通常用于日志分析、搜索、实时数据监控和可视化。
ELK-6.3和Filebeat-6.3在docker-compose环境下的安装部署和使用.pdf
11-13
ELK+Filebeat日志监控系统,在docker环境下的安装部署,使用docker环境省去了繁琐的下载安装时间,实现docker快速搭建ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件(日志系统的三剑客)。
使用docker compose搭建一个elk系统的方法
09-30
主要介绍了使用docker-compose搭建一个elk系统的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker安装ELK并实现JSON格式日志分析的方法
01-10
ELK是什么 ELK是elastic公司提供的一套完整的日志收集以及前端展示的解决方案,是三个产品的首字母缩写,分别是ElasticSearch、Logstash和Kibana。 其中Logstash负责对日志进行处理,如日志的过滤、...Docker安装ELk
elk+ filebeat环境部署(docker 方式)
Jaemon
06-30 2859
elk+ filebeat环境部署(docker 方式)
docker搭建EFK(filebeat)收集docker日志,展示到kibana
qq_39746321的博客
03-03 467
docker部署EFK,收集docker容器日志
Docker搭建ELK+Filebeat日志中心
Free雅轩的博客
10-29 258
这儿仅仅给大家做了一个演示,要在生产环境中部署时,还需使用数据卷进行数据持久化,容器内存问题也需考虑,elasticsearch与logstash都是相对吃内存的,如果不加以限制,很可能会拖垮你整个服务器。#填写实际情况elasticsearch的访问IP,因为是跨容器间的访问,使用内网、公网IP,不要填写127.0.0.1|localhost。Logstash 是一个具有实时渠道能力的数据收集引擎,主要用于日志的收集与解析,并将其存入 ElasticSearch中。
使用Docker安装ELK(Elasticsearch+Logstash+Kibana)+filebeat____基于CentOS7.9
Ee总是学不会的博客
08-03 1449
本文基于CentOS7.9环境,使用docker搭建ELK+filebeat日志检索可视化系统。
docker安装filebeat、k8s安装filebeat、通过k8s ConfigMap配置filebeat,k8s DaemonSet安装filebeat采集日志到es
qq_32352777的博客
05-10 3262
目录 前言 日志架构 使用节点级日志代理 使用 sidecar 容器运行日志代理 具有日志代理功能的边车容器 从应用中直接暴露日志目录 解决方案 部署应用 通过DaemonSet运行filebeat 通过ConfinMap创建filebeat配置文件 编写yaml脚本运行filebeat 查看日志 参考文档 前言 本博文中涉及解决方案通过参考k8s官方手册和filebeat手册得出,整体通过k8s DaemonSet部署elastic/filebea...
Docker 搭建 ELK + filebeat
m0_37606574的博客
12-27 656
参考:https://www.linuxprobe.com/docker-deploy-elk-filebeat.html 1. 下载官方镜像 $ docker pull elasticsearch $ docker pull logstash $ docker pull kibana 2.
docker elk + filebeat
08-27
Docker ELK是指使用Docker容器化技术搭建ELK(Elasticsearch、Logstash和Kibana)日志分析平台。其中,FilebeatELK中的一个组件,用于收集和传输日志数据。 在使用Docker ELK搭建平台时,你可以通过执行命令"Docker run"来启动Filebeat容器。启动命令示例如下: ``` docker run -d -u root --name filebeat --net somenetwork -v /var/log/logapp:/var/log/logapp:rw -v /mydata/docker/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro elastic/filebeat:7.16.1 ``` 这个命令会在Docker中启动一个名为"filebeat"的容器,并将日志文件夹和配置文件夹挂载到容器中。 如果需要启动多个Filebeat容器,只需要指定不同的外挂地址即可,这样可以保持架构图的一致性。示例命令如下: ``` docker run -d --network elk-net --ip 172.22.1.5 --name=filebeat -v /mydata/filebeat/log/:/usr/share/filebeat/logs -v /mydata/filebeat/config/filebeat.yml:/usr/share/filebeat/filebeat.yml docker.elastic.co/beats/filebeat:7.4.2 ``` 这个命令会在Docker中启动一个名为"filebeat"的容器,并将日志文件夹和配置文件夹挂载到容器中。 要导入日志进行测试,你可以创建一个Filebeat配置文件filebeat.yml。可以使用以下命令创建配置文件: ``` touch /mydata/filebeat/config/filebeat.yml ``` 这个命令会在指定路径下创建一个名为filebeat.yml的配置文件。然后,你可以根据需要进行相应的配置,包括指定日志路径、过滤条件等。 综上所述,Docker ELK中的Filebeat是用于收集和传输日志数据的组件,在搭建平台时需要执行相应的启动命令,并可以通过创建配置文件来进行必要的配置。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [docker安装elk + filebeat(版本:7.16.1)](https://blog.csdn.net/paidaxinga_/article/details/122210062)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [docker搭建elk+filebeat](https://blog.csdn.net/qq_31745863/article/details/129986232)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值