第 11 章 日志管理 - 090 - ELK 完整部署和使用

最新推荐文章于 2023-12-11 14:38:41 发布
最新推荐文章于 2023-12-11 14:38:41 发布
阅读量113 收藏
点赞数
文章标签: 运维 大数据
原文链接:http://www.cnblogs.com/gsophy/p/10863484.html
版权

ELK 完整部署和使用

几乎所有的软件和应用都有自己的日志文件,容器也不例外。

前面我们已经知道 Docker 会将容器日志记录到 /var/lib/docker/containers/<contariner ID>/<contariner ID>-json.log,那么只要我们能够将此文件发送给 ELK 就可以实现日志管理。

 

ELK 提供了一个配套小工具 Filebeat,它能将指定路径下的日志文件转发给 ELK。同时 Filebeat 会监控日志文件,当日志更新时,Filebeat 会将新的内容发送给 ELK。

 

安装 Filebeat

下面在 Docker Host 中安装和配置 Filebeat。

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.0.1-amd64.deb

sudo dpkg -i filebeat-7.0.1-amd64.deb

 

当你看到这篇文章时,Filebeat 可能已经有了更新的版本,请参考最新的安装文档 https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation.html

 

 

配置 Filebeat

Filebeat 的配置文件为 /etc/filebeat/filebeat.yml,我们需要告诉 Filebeat 两件事:

    监控哪些日志文件?

    将日志发送到哪里?

 

首先回答第一个问题

 

在 paths 中我们配置了两条路径:

    /var/lib/docker/containers/*/*.log 是所有容器的日志文件。

    /var/log/syslog 是 Host 操作系统的 syslog。

 

接下来告诉 Filebeat 将这些日志发送给 ELK。

 

Filebeat 可以将日志发送给 Elasticsearch 进行索引和保存;

也可以先发送给 Logstash 进行分析和过滤,然后由 Logstash 转发给 Elasticsearch。

 

为了不引入过多的复杂性,我们这里将日志直接发送给 Elasticsearch

 

如果要发送给 Logstash,可参考后半部分的注释。

 

当前的日志处理流程如下图所示:

 

 

启动 Filebeat

Filebeat 安装时已经注册为 systemd 的服务,可以直接启动服务。

systemctl start filebeat.service

 

 

管理日志

Filebeat 启动后,正常情况下会将监控的日志发送给 Elasticsearch。

 

指定 index pattern 为 filebeat-*,这与 Elasticsearch 中的 index一致。

Time-field name 选择 @timestamp。

点击 Create 创建 index pattern。

点击 Kibana 左侧 Discover 菜单,便可看到容器和 syslog 日志信息。

 

 

下面我们启动一个新的容器,该容器将向控制台打印信息,模拟日志输出。

docker run busybox sh -c 'while true; do echo "This is a log message from container busybox!"; sleep 10; done;'

 

刷新 Kibana 页面或者点击右上角 Refresh 图标,马上就能看到 busybox 的日志。

 

Kibana 也提供了强大的查询功能,比如输入关键字 busybox 能搜索出所有匹配的日志条目。

 

我们这里只是简单地将日志导入 ELK 并朴素地显示出来,实际上 ELK 还可以对日志进行归类汇总、分析聚合、创建炫酷的 Dashboard 等,可以挖掘的内容很多,玩法很丰富。

 

---------------------------------------引用来自------------------------------------------------
https://mp.weixin.qq.com/s?__biz=MzIwMTM5MjUwMg==&mid=2653587985&idx=1&sn=b3d4639d1dff9feec0ca8d29e0b6e2aa&chksm=8d308208ba470b1ed110852f866dc1f1208a42da832766672e56f14ef10affed62051abf948c&scene=21#wechat_redirect

转载于:https://www.cnblogs.com/gsophy/p/10863484.html

weixin_34255055
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker运行syslog-ng,搭建日志服务器
shenghuiping2001的专栏
10-30 825
docker运行syslog-ng,搭建日志服务器
syslog-server:基于Docker的远程syslog接收器
02-09
Syslog服务器 介绍 这是一个Docker容器,可以接收Syslog消息(RFC3164),存储在数据库中并通过网站显示。 使用(来自Docker Registry) 工作正在进行中 使用(构建) 先决条件: 已安装Docker和Docker Compose 检查docker-compose.yml中指定的端口是否未占用 $ git clone https://github.com/jacky9813/syslog-server $ cd syslog-server-master $ mkdir db $ sudo docker-compose build && sudo docker-compose up -d 使用(离线) 使用$ sudo docker-compose build构建映像 使用$ sudo docker save syslog-server | pigz
Docker整合syslog
bobo now~
10-14 1991
Docker 日志整合 syslog
Docker centos 安装syslog
weixin_34116110的博客
08-01 324
  在通常的Linux服务器中,有一些服务本身没有日志,只能通过 tail -f /var/log/messages来查看其运行日志,比如nrpe server。但是,如果想在docker容器中实现这个功能就需要费点事了。具体步骤如下:   1、安装rsyslog # yum -y install rsyslog     2、启动syslog服务 # rsyslogd ...
Docker 内置日志驱动的使用说明(syslog,fluentd)
mind_transition的博客
08-10 388
docker内置日志驱动,syslog,fluentd
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与ela
11-01
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署11-es-hea.mp4
如何在docker里使用syslog()
anzhuangguai的专栏
04-24 2499
docker里不允许使用syslog()命令,原因:docker的单进程机制决定的。 如何在docker里输出到syslog,这个可以有。将docker内程序要打印的内容输出到stdout,然后由docker传到syslogd。 正规方法: 1 docker使用log-driver:syslog 2 docker上设置 { "log-driver": "syslog", "log-opts": { "syslog-address": "udp://1.2.3.4:1111"
CentOS7 搭建图形化 Syslog 服务器 Rsyslog+MySQL+LogAnalyzer
lllpp1的博客
05-13 2847
一、 环境准备 a) 确认外网访问,确认与 Client 互通 b) 关闭 Firewall #systemctl stop firewalld #关闭防火墙 #systemctl disable firewalld #禁止启动防火墙 c) 关闭 SELinux #vi /etc/selinux/config 把 SELINUX=enforcing 改成 SELINUX=disabled 二、 配置 LAMP 环境 a) 安装 MySQL mkdir /home/rsyslog_server/tools -
日志分析可视化工具(lek)
u012717165的专栏
12-30 3658
logstash + elasticsearch + kibanalegend: logstash --》 redis --》 ElasticSearch logstash包括两种工作方式: standalone : logstash on a single logstash ---> elasticsearch ---> kibana centralized: logstash with
日志分析工具、日志管理系统、syslog分析
08-14 311
用EventLog Analyzer的预定义报表和告警来进行Syslog管理 系统日志(Syslog)管理是几乎所有企业的重要需求。系统管理员将syslog看作是解决网络上系统日志支持的系统和设备性能问题的关键资源。人们往往低估了对完整的sys­log监控解决方案的需求,导致长时间筛选大量...
syslog工具
01-05
网络管理工具软件,用于收集网络设备的工作日志
syslog日志服务
03-18
这个是一个syslog日志服务器,这个是简易版的,在过一段时间的整理后我会上传一个以java为编程语言的syslog日志服务器,在这里也是做了预告,使用了syslog4j的jar包,可能是要看这个帖子的回复量来决定是否要上传代码,这gs的scdn一个积分都不给我,我只能掏出我的压仓货了
router_syslog(告警日志自动接收监控软件)
07-25
告警日志自动接收监控软件,可及时发现网络故障
syslog日志可视化工具
最新发布
03-06
使用syslog协议对接日志时,用该工具查看日志是否成功发送。
syslog工具_玩转防火墙日志——从Syslog到Traffic log
weixin_39818727的博客
12-06 1590
防火墙—作为网络安全防护设备最重要的基础防御产品之一,承担了网络内网控制以及网络边界防护的主要责任。防火墙日常运行过程中除了会产生Syslog日志外,还会产生一种特殊的日志-流量日志(Traffic Log),用于记录防火墙设备上策略的命中情况、会话的生命周期等信息。流量日志是一种包含丰富信息的记录性日志,能够在网络运维人员进行网络诊断、策略梳理、异常流量处置时提供充足的信息支持。防火墙...
syslog的集中式日志管理和监控工具
互联网知识分享
12-11 402
ELK Stack是一个开源的集中式日志管理工具,它由Elasticsearch、Logstash和Kibana三个组件组成,分别用于日志存储、日志收集和日志可视化。rsyslog是一个功能强大的集中式日志管理工具,它支持syslog协议,可以接收来自各种设备和应用程序的日志消息,并提供丰富的过滤、存储和转发功能。集中式日志管理工具是用于接收、存储、分析和监控远程设备和应用程序发送的日志消息的软件系统,它们可以帮助管理员更好地管理和监控系统日志,及时发现和解决问题。-c:指定Nagios配置文件的路径。
docker-compose详解
m0_54852350的博客
04-14 181
1 安装: 官方: curl -L https://github.com/docker/compose/releases/download/1.25.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose 或者使用管理工具: apt-get install docker-compose 2 使用场景 docker-compose用来单机上
syslog工具_10大开源安全信息和事件管理SIEM工具
weixin_39552472的博客
12-07 1283
企业应该投资并部署开源SIEM(安全信息和事件管理)工具吗?SIEM是现代企业网络安全的重要组成部分。实际上,SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理,安全分析和关联以及报告模板,企业才能抵御现代网络攻击。但是,SIEM也会给你的企业IT部门带来严重问题。通常,SIEM的部署和维护成本高昂;其解决方案在资源和时间方面都需要运营成本。此外,SIEM在部署时需要不断进...
SysLog简介和实现
CheerForU
03-08 2189
什么是SysLog syslog协议属于一种主从式协议:syslog发送端会传送出一个小的文字讯息(小于1024字节)到syslog接收端。接收端通常名为“syslogd”、“syslog daemon”或syslog服务器。系统日志讯息可以被以UDP协议及╱或TCP协议来传送。 Syslog 常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准。这个...
第六十一部署ELK分布式日志分析平台1
08-08
在IT运维和数据分析的领域,部署ELK分布式日志分析平台是一个关键步骤,尤其对于大型企业或复杂系统来说。ELK(Elasticsearch、Logstash和Kibana)平台被广泛应用于解决日志管理和问题定位的挑战。以下是关于部署ELK...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值