docker-compose搭建EFK,继上篇使用filebeat+es对日志文件的过滤

最新推荐文章于 2024-06-24 12:00:32 发布
最新推荐文章于 2024-06-24 12:00:32 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: Laravel PIP 文章标签: docker elasticsearch 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42805749/article/details/121303635
版权
Laravel 同时被 2 个专栏收录
23 篇文章 1 订阅
订阅专栏
PIP
3 篇文章 0 订阅
订阅专栏

前言--------上一期说到,通过这两天对EFKL方面的研究,发现Logstash在处理过滤日志,提取确实有一定的优势,配合es和Kibana简直可以完美的把我们需要的日志一目了然的展示出来,但是时间久了会发现Logstash简直太迟CPU了,我丢,这下去不行啊,赶紧研究别的方案。

先给大家展示一下我要收集的日志格式:

[2021-10-29 03:39:12] saveData.INFO: saveData {"params":{"index":"fulfillments_1","id":5941107,"body":{"id":5941107,"shippingMethodId":null,"shippingMethodName":null,"pluginId":null,"shipToName":"tan2","shipToPhone":null,"shipToSuburb":"FRASER RISE","shipToState":"VIC","shipToPostcode":"3336","shipToCountry":"AU","shipToAddress1":"Second St","shipToAddress2":null,"shipToCompanyName":"eiz","shipToEmail":null,"fromAddress1":"tet-1","fromAddress2":null,"fromSuburb":"Moorabbin","fromState":"VIC","fromCountry":"AU","fromPostcode":"3189","fromCompany_name":"eiz","fromName":"jin2","fromPhone":"47658975","fromEmail":null,"carrierName":null,"labelNumber":[],"fulfillmentStatus":1,"consignments":[],"products":[{"id":4,"account_id":1,"product_id":4,"sku":"124","title":"dsadasds","weight":1,"length":11,"width":11,"height":11,"quantity":0,"location":null,"insured_amount":null,"status":0,"custom_label":null,"custom_label2":null,"custom_label3":null,"img_url":null,"barcode":null,"wms_stock":0,"pivot":{"fulfillment_id":5941107,"product_id":4,"qty":1,"note":null,"sku":"124"}}],"consignmentStatus":0,"picklistStatus":0,"createdAt":"2021-10-26 13:33:03","updatedAt":"2021-10-29 14:39:11","package_info":[{"packObj":[],"qty":"2","weight":"13","length":"6","width":"7","height":"8","package_id":null}],"price":null,"note":null,"tags":[{"id":95,"account_id":1,"parent_id":null,"name":"test","description":"{\"name\":\"test\",\"color\":\"#eb2f96\"}"}],"errors":null,"tracking_status":0,"packageNum":2,"productNum":1,"autoQuoteResult":[],"orders":[],"log":[],"shipToRef":"TJ0000212"}}} []

解决方案:通过filebeat+es的pipeline就可以实现我们预期的效果,且不耗CPU,我们来动手试试,先看看实现效果:可以看到我们使用这种方法,依然实现了上一篇的效果

在这里插入图片描述

第一步:

先来看看我的项目目录:关于dockerfiles文件夹下的文件内容我都写在上一篇了,还有这块我用的是opensearch+opensearch-dashboards,其实和Elasticsearch+Kibana是一样的,上篇文章有说到
在这里插入图片描述
编辑docker-compose.yaml文件

version: "2.2"
services:
  opensearch:
    build:
      context: dockerfiles
      dockerfile: opensearch-no-security.dockerfile
    restart: always
    container_name: opensearch
    image: wangyi/opensearch:latest
    environment:
      - discovery.type=single-node
    ports:
      - 9200:9200
      - 9600:9600 # required for Performance Analyzer
    volumes:
      - opensearch-data1:/usr/share/opensearch/data

  opensearch-dashboards:
    build:
      context: dockerfiles
      dockerfile: opensearch-dashboards-no-security.dockerfile
    image: wangyi/opensearch-dashboard:latest
    container_name: opensearch-dashboards
    ports:
      - 5601:5601
    environment:
      OPENSEARCH_HOSTS: '["http://opensearch:9200"]' # must be a string with no spaces when specified as an environment variable

  filebeat:
    build: ./filebeat
    restart: "always"
    container_name: filebeat
    volumes:
      - ./storage/logs/:/tools/logs/
    user: root

volumes:
  opensearch-data1:

第二步:

配置filebeat文件夹下的Dockerfile文件:

FROM docker.elastic.co/beats/filebeat-oss:7.11.0

# Copy our custom configuration file
COPY ./filebeat.yml /usr/share/filebeat/filebeat.yml

USER root
# Create a directory to map volume with all docker log files
RUN mkdir /usr/share/filebeat/dockerlogs
RUN chown -R root /usr/share/filebeat/
RUN chmod -R go-w /usr/share/filebeat/

编辑filebeat.yml文件

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /tools/logs/saveData/*/*/*.log
  pipeline: savedata_log  ##记住这个pipeline
  fields:
    type: savedata_log
  tail_files: true  ##设置监察文件写入时执行,不从头读取


- type: log
  enabled: true
  paths:
    - /tools/logs/condition/*/*/*.log
  pipeline: my_pipeline_id  ##记住这个pipeline
  fields:
    type: condition_log
  tail_files: true


setup.ilm.enabled: false

setup.template.settings:
  index.number_of_shards: 1
  index.number_of_replicas: 0
  index.codec: best_compression

output.elasticsearch:
  hosts: ["opensearch:9200"]
  indices:
    - index: "savedata_logs_%{+yyyy.MM.dd}"
      when.equals:
        fields.type: "savedata_log"
    - index: "condition_logs_%{+yyyy.MM.dd}"
      when.equals:
        fields.type: "condition_log"

第三步:

启动三个服务,注意启动顺序
1.先启动opensearch(ES)docker-compose up -d opensearch
2.再启动filebeat docker-compose up -d filebeat
3.再启动opensearch-dashboards(Kibana) docker-compose up -d opensearch-dashboards

待所有服务启动成功后,我们打开Kibana后台,配置pipeline
在这里插入图片描述

PUT _ingest/pipeline/my_pipeline_id  ##我们在这里创建两个对应filebeat文件的pipeline就行
{
  "description": "test pipeline",
  "processors": [
    {
      "grok": {
        "field": "message",
        "patterns": ["""\[%{TIMESTAMP_ISO8601:logtime}\] %{WORD:env}\.(?<level>[A-Z]{4,5})\: %{WORD:params} %{GREEDYDATA:message} """]  ##此配置仅限于提取Laravel文件配置
      },
      "json": {
        "field": "message"
      }
    }
  ]
}

大家可以通过GROK在线测试自己的正则

EFK一行就此结束,前前后后换了三次方案,最终得出这套完美的解决方案,CPU也看过了,非常完美!!!

Abel_JiaWei
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Docker 快速搭建EFK日志中心
趙兴晨的博客
04-04 1302
注意:EFK 系统下的各个组件都非常吃内存,后期根据业务需要,EFK 的架构可进行扩展,当 FileBeat 收集的日志越来越多时,为防止数据丢失,可引入 Redis,而 ElasticSearch 也可扩展为集群,并使用 Head 插件进行管理, 所以要保证服务器有充足的运行内存和磁盘空间。但在分布式系统中,众多服务分散部署在数十台甚至上百台不同的服务器上,想要快速方便的实现查找、分析和归档等功能,使用Linux命令等传统的方式查询到想要的日志就费事费力,更不要说对日志进行分析与归纳了。
docker-compose部署EFK
weixin_48505120的博客
02-11 1846
1 整体目录结构 root@shutang:/home/shutang/docker-scripts# tree log-scripts/ log-scripts/ |-- README.MD |-- curator | |-- Dockerfile | |-- curator_prod.yml | |-- curator_qa.yml | |-- delete_indices.yml | `-- docker-compose.yml |-- docker-compose.yml |--
docker-compose安装efk使用
最新发布
m0_68962995的博客
06-24 484
相关组件,filebeat:8.10.2 ,kibana:8.10.2 ,elasticsearch:8.10.2。可以看到filebeta.yml文件已经自动创建了,手动修改它,先将里面的内容清空,添加如下内容。先运行docker network create 命令创建网络,我创建的名字是logging。最后的output中的hosts的ip地址是elasticsearch的ip地址和监听端口。可以将filebeat装在其他服务器上,就可以实现多服务器的日志收集。系统版本为ubuntu 24.04。
docker-compose 部署efk(有这就够了)
Abel_JiaWei的博客
11-02 4008
docker-compose 部署EFK 这两天在搭建EFKElasticsearch+fluentd+Kibana) EFK是什么??? EFK不是一个软件,而是一套解决方案,开源软件之间的互相配合使用,高效的满足了很多场合的应用,是目前主流的一种日志系统。EFK是三个开源软件的缩写,分别表示:Elasticsearch , Fluentd, Kibana , 其中ELasticsearch负责日志保存和搜索,Fluentd负责收集日志Kibana 负责界面,三者配合起来,形成一个非常完美的解决方案;
docker-compose 部署 EFK
weixin_30885111的博客
02-22 402
信息: Docker版本($ docker --version):Docker版本18.06.1-ce,版本e68fc7a 系统信息($ cat /etc/centos-release):CentOS Linux release 7.5.1804 (Core) 第一步:配置镜像加速 sudo mkdir -p /etc/docker sudo tee /etc/docker/...
docker搭建EFK
ITCodeCraft
04-06 1290
docker 容器内报错 E: List directory /var/lib/apt/lists/partial is missing. - Acquire ( : No such file or directory) 或者其他权限 PermissionError: [Errno 13] Permission denied:(https://www.cnblogs.com/maxiaohei/p/16321356.html)
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
centos7使用docker-compose安装es(包括IK分词器扩展)+kibana
04-13
3、dockerdocker-compose安装要提前安装完成 4、将下载内容解压一个目录 5、运行 docker-compose up # 此命令环境会在终端前台运行 docker-compose up -d # 加上-d会放入后台进行环境的启动 如有问题,欢迎进行...
docker-compose-maven-plugin:使用Maven运行docker-compose
02-03
Docker Compose Maven插件 ... < artifactId>docker-compose-maven-plugin $VERSION 关于 Maven插件,用于通过Maven运行基本的docker-compose命令。 它可以用作Maven生命周期的一部分,也可以用作将do
docker-compose php7.3.4-fpm+nginx+mysql配置
09-07
docker-compose php7.3.4-fpm+nginx+mysql配置
docker-compose搭建php7.4(swoole+swoole-loader+dg)+mysql5.7环境
04-27
通过一个YAML文件(通常命名为`docker-compose.yml`),我们可以配置服务、网络和卷,然后用单个命令来启动整个应用堆栈。 现在,我们进入主题,搭建PHP 7.4环境,集成Swoole和Swoole Loader扩展。Swoole是一个高...
docker一键部署EFK系统(elasticsearch filebeat kibana metricbeat es-head)
打不倒的程序猿
05-30 913
Elasticsearch 是一个实时的、分布式的可扩展的搜索引擎,允许进行全文、结构化搜索,它通常用于索引和搜索大量日志数据,也可用于搜索许多不同类型的文档。Beats 是数据采集的得力工具。将 Beats 和您的容器一起置于服务器上,或者将 Beats 作为函数加以部署,然后便可在 Elastisearch 中集中处理数据。如果需要更加强大的处理性能,Beats 还能将数据输送到 Logstash 进行转换和解析。Kibana 核心产品搭载了一批经典功能:柱状图、线状图、饼图、旭日图,等等。
Docker搭建EFK统一日志平台
mozhan的专栏
06-24 409
一、 下载Docker mac机器下载地址:https://download.docker.com/mac/stable/Docker.dmg 安装完成后在mac控制台执行: docker network create --driver bridge --subnet 192.168.0.0/24 --gateway 192.168.0.1 mynet 二,安装elasticsearch [root@node1 docker]# docker run --name elasti..
docker部署EFK
u011385940的专栏
04-12 3908
基于centos 1.下载elasticsearch镜像: docker pull docker.elastic.co/elasticsearch/elasticsearch:6.7.1 docker tag 容器id elasticsearch:6.7.1 docker run -d --name elastic -p 9200:9200 -p 9300:9300 -e "discove...
docker-compose实现EFK日志监控
landrain的博客
01-28 4778
注:filebeat没有分析功能,由于没有logstash的字段分析和解析功能,所有的日志最好都是json格式。 EFK是elastic三个组件的简称,分别是 elasticsearchfilebeatkibana。三个组件都非常强大,这里作为练习和小项目的分析只运用一些简单功能。【elastic官网地址】 docker-compose 是一个用户定义和运行多个容器Docker 应用...
EFK日志收集系统搭建docker-compose版)
流氓兔的博客
01-12 3719
docker-compose搭建EFK日志收集系统docker-compose.yml涉及到的映射目录配置文件 环境 Ubuntu18.04.4 服务器IP 192.168.1.197 版本: 服务 版本 elasticsearch 7.1.1 search 7.1.1 filebeat 7.1.1 elastichd latest docker-compose.yml version: '3' services: elasticsearch: image: do
docker-compose部署efk
09-20
通过docker compose可以一次性部署ElasticsearchFilebeatKibana(EFK)。你需要使用以下镜像: - docker pull store/elastic/filebeat:7.6.2 - docker pull elasticsearch:7.6.2 - docker pull kibana:7.6.2 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值