docker compose部署elk

已于 2022-06-13 15:34:43 修改
阅读量456 收藏 3
点赞数
分类专栏: 虚拟机监控 文章标签: docker elk elasticsearch
于 2020-09-12 18:28:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41122834/article/details/108553116
版权

docker-compose 安装:

sudo curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

赋予可执行权限:

 sudo chmod +x /usr/local/bin/docker-compose

创建软连接:

sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

查看是否安装成功:

docker-compose --version

cker-compose version 1.24.1, build 4667896b

需要创建config,conf.d目录
logstash.yml

path.config: /usr/share/logstash/conf.d/*.conf
path.logs: /var/log/logstash

elasticsearch.yml

cluster.name: "docker-cluster"
network.host: 0.0.0.0
http.cors.allow-origin: "*"
http.cors.enabled: true

kibana.yml

server.name: kibana
server.host: "0"
elasticsearch.hosts: [ "http://elasticsearch:9200" ]
monitoring.ui.container.elasticsearch.enabled: true
i18n.locale: "zh-CN"

docker-compose.yml

version: '3'
services:
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:7.9.1
    container_name: elasticsearch
    restart: always
    volumes:
    - ./config/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml  
    environment:
    - discovery.type=single-node
    ports:
    - "9200:9200"
    - "9300:9300"  
  elastc-head:
    image: mobz/elasticsearch-head:5
    container_name: elasticsearch-head
    restart: always
    ports:
    - "9100:9100"
 
  logstash:
    image: docker.elastic.co/logstash/logstash:7.9.1
    container_name: logstash
    restart: always
    volumes:
    - ./config/logstash.yml:/usr/share/logstash/config/logstash.yml
    - ./conf.d:/usr/share/logstash/conf.d/
    ports:
    - "5044:5044"
    depends_on:
    - elasticsearch


  kibana:
    image: docker.elastic.co/kibana/kibana:7.9.1
    container_name: kibana
    restart: always
    volumes:
    - ./config/kibana.yml:/usr/share/kibana/config/kibana.yml
    depends_on:
      - elasticsearch
    ports:
    - "5601:5601"

启动命令:

docker-compose up -d

启动metricbeat

docker run -d --user=root --name metricbeat -v /home/dnxx/metricbeat.yml:/usr/share/metricbeat/metricbeat.yml:ro metricbeat:v1

metricbeat.yml

metricbeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false

processors:
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
setup.dashboards.enabled: true
#setup.dashboards.url: "http://192.168.30.51:5601"
setup.kibana:
    host: "http://192.168.30.51:5601"
output.kafka:
  hosts: ["192.168.30.51:9092"]
  topic: "system_metric"
#output.elasticsearch:
#  hosts: ["192.168.30.51:9200"]

启动auditbeat

docker run -d  --name=auditbeat   --user=root   --cap-add="AUDIT_CONTROL"  --cap-add="AUDIT_READ" --volume="/home/dnxx/myproject/config/auditbeat.yml:/usr/share/auditbeat/auditbeat.yml:ro"  --pid=host  docker.elastic.co/beats/auditbeat:7.9.1 -e  --strict.perms=false

auditbeat.yml


auditbeat.modules:

- module: auditd
  audit_rules: |
#不记录pid为19714的所有系统调用事件,备注:自动根据auditbeat PID定义此规则
    -a never,exit -S all -F pid=19714
#记录CPU为32位所有系统调用事件
    -a always,exit -F arch=b32 -S all -F key=32bit-abi
#记录CPU为64"程序执行"相关系统调用事件
    -a always,exit -F arch=b64 -S execve,execveat -F key=exec
#记录CPU为64"远程连接"相关系统调用事件
    -a always,exit -F arch=b64 -S connect,accept,bind -F key=external-access
#对/etc/group、/etc/passwd、/etc/gshadow文件做审计,记录用户身份验证的变化
    -w /etc/group -p wa -k identity
    -w /etc/passwd -p wa -k identity
    -w /etc/gshadow -p wa -k identity
#记录文件打开、修改等因没有权限或不被允许的事件
    -a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F exit=-EACCES -F key=access
    -a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F exit=-EPERM -F key=access
- module: file_integrity
  paths:
    - /bin
    - /usr/bin
    - /sbin
    - /usr/sbin
#    - /etc

processors:
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
output.kafka:
  hosts: ["192.168.30.51:9092"]
  topic: "audit_metric"

#output.elasticsearch:
#  hosts: '${ELASTICSEARCH_HOSTS:elasticsearch:9200}'
#  username: '${ELASTICSEARCH_USERNAME:}'
#  password: '${ELASTICSEARCH_PASSWORD:}'

安装filebeat

docker run -d --name=filebeat --user=root --volume="/home/dnxx/myproject/config/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro" 192.168.30.53:5000/filebeat:v1 filebeat -e -strict.perms=false

可参考链接

柳暗花明又一村ヾ(◍°∇°◍)ノ゙
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Auditbeat日志审计方案
yiyiatgis的专栏
11-04 1960
架构 整个架构分采集器和存储、查询三个部分。 【采集器】 采集器使用Auditbeat进行审计日志采集。 【存储】 采集后的日志直接输出到ElasticSearch,考虑到我们的日志较少切Auditbeat具备重传功能,因此,第一个版本先使用单节点的ElasticSearch进行试运行,实际运行过程中做好ElasticSearch的监控,遇到ElasticSearch故障时可以及时启动。 【查询】 查询使用Kibana,与ElasticSearch对接,进行日志分析和监控。 【配置管理】
ELK入门(十九)——Auditbeat安装、启动与可视化
Netceor的博客
03-01 1382
一、安装包 可以到官网找到对应的安装方式:https://www.elastic.co/guide/en/beats/auditbeat/7.10/auditbeat-installation-configuration.html tar.gz直接用连接https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.10.1-linux-x86_64.tar.gz下载 # 解压 tar xzvf auditbeat-7.10.1-
基于Docker安装Elasticsearch【保姆级教程、内含图解】_docker elasticsearch
最新发布
2401_83974308的博客
04-20 898
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?
ELK实战--利用auditbeat采集系统审计日志并生成图表
weixin_34220179的博客
01-17 1392
一、背景 Auditbeat是轻量型的审计日志采集器,可以收集linux审计框架的数据、监控文件完整性。能够组合相关消息到一个事件里,生成标准的结构化数据,方便分析,而且能够与Logstash、Elasticsearch和Kibana无缝集成。 二、安装 wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6....
Beats:  Elastic 中的 Auditbeat 使用介绍
Elastic 中国社区官方博客
11-20 3948
Auditbeat是一种轻量级的数据收集器,您可以将其安装在服务器上,以审核系统上用户和进程的活动。 例如,您可以使用Auditbeat从Linux Audit Framework收集和集中审核事件。 您还可以使用Auditbeat来检测对关键文件(如二进制文件和配置文件)的更改,并确定潜在的安全策略冲突。Auditbeat是一种Elastic Beat。 它基于libbeat框架。 为了能够使...
对比Auditbeat和Filebeat(auditd模块)采集linux审计日志(audit.log)
不以物喜的博客
03-24 1595
0 前提条件 已经安装并部署好了EFK集群,EFK集群从零开始部署详见教程。
Docker-compose部署ELK的示例代码
09-29
主要介绍了Docker-compose部署ELK的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
elkdocker-compose配置
12-17
使用docker-compose 搭建elk日志系统.使用docker-compose 搭建elk日志系统
Docker-compose 建立ELK集群的实现方法
09-29
主要介绍了Docker-compose 建立ELK集群的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
docker-composeELK配置文件.zip
07-30
docker集群ELK部署读取本地日志--配置文件;包含docker-compose集群化部署ELK的配置脚本和elasticsearch、kibana的配置文件、logstash解析日志的配置文件
ELK+filebeat+metricbeat+heartbeat+auditbeat安装配置及汉化
江南T雨
02-20 3988
一、基础环境介绍 Centos 7.5 x64 ElasticSearch 6.5.1 Logstash 6.5.1 Kibana 6.5.1 filebeat 6.5.1 metricbeat 6.5.1 heartbeat 6.5.1 auditbeat 6.5.1 Kibana_Hanization 6.5.1 二、ElasticSearch安装 安装JDK,配置J...
Linux部署7.9.3ELK+Filebeat监控tomcat日志
lvhao2813的博客
12-04 663
Linux环境安装7.9.3版本elasticsearch 1. 下载及解压 将elasticsearch-7.9.3-linux-x86_64.tar.gz放在myfiles中解压 2. 修改es相应的配置 cd /myfiles/elasticsearch-7.9.3/config vi elasticsearch.yml node.name: node-1 network.host: 0.0.0.0 http.port: 9200 cluster.initial_master_...
针对kibana中SIEM模块的探索之Auditbeat安装
爱国小白帽
05-24 1963
什么是SIEM? SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加,加上组织要求更严格的安全法规,使SIEM成为越来越多的组织正在采用的标准安全方法。 但是SIEM实际上涉及到什么呢?它由哪些不同的部分组成?SIEM实际上如何帮助减轻攻击?本文试图提供一种SIEM 101。后续文章将深入探讨一些可用于实际实现SIEM的解决方案。 1、为什么我们需要SIEM? 毫无疑问,对计算机系统的攻击不断增加。Coinmining, DDoS, ransomware,恶意
fileBeats、Logstash与Kibana 阿善没用
okbin1991的博客
12-23 234
今日内容:1) JAVA API 操作 ES 集群2) ES的架构原理3) ES的 sql操作4) Beats基本概念及其使用5) logstash基本概念及其使用6) kibana基本概念及其使用 1) JAVA API 操作 ES 集群 : 根据关键词查询 分页查询(浅分页 和 深分页) 高亮展示数据 2) 构建索引库的时候, 除了可以指定 mapping信息以外, 还可以指定 分片和副本...
Docker-Compose部署ELK
weixin_44359151的博客
03-04 2582
Docker-Compose部署ELK
Docker Compose搭建ELK
qq_35128047的博客
06-16 1701
Docker Compose搭建ELK前言一、安装docker1.卸载旧版本Docker(如果系统之前没安装过Docker,可以跳过):2.安装Docker所需要的包:3.设置稳定的仓库:4.安装最新版本docker引擎5.启动docker二、安装Docker Compose1.获取Docker Compose的最新稳定版本2.对二进制文件授予可执行权限3.创建link三.Docker Compose搭建ELK总结 前言 使用docker compose搭建elk,前提条件是要安装好docker 和doc
dockercompose搭建elk
qq_38899062的博客
08-02 6021
Elastic Stack简介 如果你没有听说过Elastic Stack,那你一定听说过ELK,实际上ELK是三款软件的简称,分别是Elasticsearch、 Logstash、Kibana组成,在发展的过程中,又有新成员Beats的加入,所以就形成了Elastic Stack。所以说,ELK是旧的称呼,Elastic Stack是新的名字。 全系的Elastic Stack技术栈包括: Elasticsearch ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用
利用Docker-Compose部署ELK系统
weixin_47229266的博客
06-13 1326
本文档是搭建一个较为简易的ELK系统的教程,并不涉及ELK较深的使用方法,可当作一个初学者搭建历程的日志记录
使用docker-compose部署elk
系统运维博客,分享实用的运维技巧、经验和解决方案。致力于帮助读者解决系统运维中的各种问题,提升运维效率。欢迎关注,共同学习进步!
12-19 769
使用Docker Compose部署ELK可以简化部署过程,可实现一键部署,不需要修改任何配置,提高可扩展性和灵活性,同时提供集中管理日志数据、快速搜索和分析等功能,对于业务运营和决策支持具有重要意义。
docker-compose部署ELK
05-30
好的,下面是Docker Compose部署ELK的步骤: 1. 首先需要在本地安装DockerDocker Compose。 2. 创建一个Docker Compose文件,命名为docker-compose.yml,内容如下: ``` version: '3' services: elasticsearch...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值