通过filebeat实现对docker服务的通用日志收集

已于 2024-04-24 22:47:00 修改
阅读量3.9k 收藏 27
点赞数 18
分类专栏: 运维 文章标签: docker 容器 运维
于 2024-04-24 11:12:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46080554/article/details/137646371
版权
本文介绍了如何在自建机房和Kubernetes环境中,通过Docker和Filebeat构建一个统一的日志收集平台,包括配置Docker容器的日志路径、添加元数据处理器获取服务信息,以及在K8s下的调整,以实现高效、集中的日志管理和查询。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

平台

依赖

linux
docker
docker-compose 或者 docker compose

镜像

docker.elastic.co/beats/filebeat:8.12.2
docker.elastic.co/beats/kibana:8.12.2
docker.elastic.co/beats/elasticsearch:8.12.2

正文

背景

对于有自建机房的公司来说,如果公司的运维技术能力不是很强,那么通过docker部署内部服务自然成了首选(其实K8S搭建的服务依然会遇到这个问题,部署方式于此基本相同,主要是filebeat的元数据处理器从add_docker_metadata修改为add_kubernetes_metadata)。
同时,很多服务需要保证一定的可用性,也就需要多实例加滚动更新,在这种情况下自然需要在不同机器上部署实例
当生产服务出现问题时,想查看日志就必须要登录对应的服务器去挨个查看,运气不好要看完所有实例才能找到,十分痛苦。
所以希望有个统一的日志平台收集分散在各个服务器上的日志,做集中查询,自然地ELK三剑客(众所周知,3剑客有4个,还有filebeat)就成了我们的首选。

技术原理

通过docker启动的服务,其日志会保存在 /var/lib/docker/containers目录下,并以容器ID生成子目录,保存容器的配置、日志等
在这里插入图片描述
查看完整的容器ID
在这里插入图片描述

在这里插入图片描述

平时通过docker logs -f {容器ID}读取的就是保存在上述目录下的日志文件,因为docker以json格式保存日志,所以日志文件为 容器ID-json.log
在这里插入图片描述
至此,我们有了 服务 -> 容器实例 -> 服务日志 这样的映射关系。
但是依然不太方便,需要额外自主处理服务到容器实例日志的映射。

对于这样常用场景,filebeat官方为我们提供的docker元数据处理器处理
filebeat的docker元数据处理器
我们只需要添加docker.sock这个与docker通信的套接字,filebeat就能从中获取docker启用的服务列表等元数据。
/var/run/docker.sock

When running Filebeat in a container, you need to provide access to Docker’s unix socket in order for the add_docker_metadata processor to work. You can do this by mounting the socket inside the container. For example:

之后,再借助filebeat提供的自定义处理功能,提取服务名,再把对应日志上传到各自服务名的日志即可。

至于是否需要logstash,至少以我们当前的需求来说不需要logstash在进行额外处理,已经基本满足。

由于篇幅有限,这里就不再复述如何部署es和kibana了。

部署filebeat

  1. 编写filebeat的部署文件
    docker-compose.yml
version: "3"

services:
  filebeat:
    image: 'docker.elastic.co/beats/filebeat:8.12.2'
    container_name: filebeat
    restart: always
    user: "root"
    volumes:
      # docker容器日志
      - /var/lib/docke
最低0.47元/天 解锁文章
Filebeat 采集 Docker 日志
叶康铭的博客
10-20 5240
由于容器的特性,在容器重新创建后日志会废弃掉,如何通过持久化和中心化的处理容器日志变成一个棘手的问题,如何通过 Elastic Stack 进行一站式的数据采集,数据清洗,数据落地,数据可视化,让数据发挥真正的价值呢? 架构设计 涉及到 Elastic Stack 中 Filebeat 是用于采集 Docker 相关的日志, Elasticsearch 是用于对于数据落地存储和搜索的引擎, Kibana 是用于对数据可视化的工具。 在 Docker容器日志是存储在/var/lib/docker/c.
使用Filebeat收集线上docker日志
weixin_43886546的博客
06-05 6671
Filebeat官网:https://www.elastic.co/guide/en/beats/filebeat/index.html 警告:这里一定要检查好自己安装的filebeat是哪个版本。然后在官网对应版本下,进行参数设置;避免踩坑。 一、概述 Filebeat是Beat成员之一,基于Go语言开发,并且无需添加任何依赖,Logstash 和 filebeat都具有日志收集的功能...
elk-filebeat收集docker日志
嘿嘿嘿
11-19 2518
文章目录使用docker搭建elkfilebeat安装与配置docker容器设置参考文章首发地址 使用docker搭建elk 1、使用docker-compose文件构建elk。文件如下: version: '3' services: elk: image: sebp/elk:640 ports: - "5601:5601" - "9200:9200" ...
docker安装filebeat 进行日志收集
最新发布
fie8889的博客
04-14 386
filebeat和beats的关系首先filebeat是Beats中的一员。Beats在是一个轻量级日志采集器,其实Beats家族有6个成员,早期的ELK架构中使用Logstash收集、解析日志,但是Logstash对内存、cpu、io等资源消耗比较高。相比Logstash,Beats所占系统的CPU和内存几乎可以忽略不计。目前Beats包含六种工具:Packetbeat:网络数据(收集网络流量数据)Metricbeat:指标(收集系统、进程和文件系统级别的CPU和内存使用情况等数据)
filebeat收集docker日志
weixin_45262858的博客
06-11 1173
10.0.0.51 elasticsaerch 10.0.0.0.52 docker 容器 1.安装elasticsearch(51) 1.1下载,上传,安装jdk rpm -ivh jdk-8u181-linux-x64.rpm 1.2下载,上传,安装elasticsearch rpm -ivh elasticsearch-6.6.0.rpm 1.3自定义配置文件 cp /etc/elasticsearch/elasticsearch.yml /opt/ cat >/etc/elastics
【ELK】Filebeat采集Docker容器日志
youmiqianyue的博客
12-17 1485
Filebeat采集docker日志
docker安装filebeat
shykevin的博客
08-25 5638
一、概述 filebeat和beats的关系 首先filebeat是Beats中的一员。  Beats在是一个轻量级日志采集器,其实Beats家族有6个成员,早期的ELK架构中使用Logstash收集、解析日志,但是Logstash对内存、cpu、io等资源消耗比较高。相比Logstash,Beats所占系统的CPU和内存几乎可以忽略不计。目前Beats包含六种工具: Packetb...
ELK+filebeat+kafka日志收集
qq_39239712的博客
03-27 973
我们主要完成在Docker环境下部署 Filebeat 日志收集工具,他是搭建ELK日志非常重要的一部分,我们利用Filebeat日志收集完成之后,将数据写入 Elasticsearch 后用 Kibana 进行可视化展示,目前我们已经完成了Fliebeat + Es +Kibana部分。
Filebeat读取日志推送kafka(docker-compose)
weixin_49566876的博客
01-04 1489
Filebeat是本地文件的日志数据采集器,可监控日志目录或特定日志文件(tail file),并将它们转发给Elasticsearch或Logstatsh进行索引、kafka等。带有内部模块(auditd,Apache,Nginx,System和MySQL),可通过一个指定命令来简化通用日志格式的收集,解析和可视化。*** kafka常用命令。
Docker搭建ELK+Kafka+FileBeat统一日志中心
都超的博客
09-20 2405
一、介绍与相关资料 1. 相关地址 官网 elk镜像仓库 2. 组件分工 filebeat:负责日志抓取与日志聚合 kafka: 削峰填谷 logstash:结构化日志信息,并把字段transform成对应的类型 elasticsearch:负责存储和查询日志信息 kibana:通过ui展示日志信息 二、Kafka安装部署 1. 下载镜像 docker pull zookeeper:lates...
docker部署ELK+Filebeatfilebeat部署(二)
进阶的蜗牛
07-22 1554
docker部署ELK+Filebeatfilebeat部署(二) 摘要: Filebeat是本地文件的日志数据采集器,可监控日志目录或特定日志文件(tail file),并将它们转发给Elasticsearch或Logstatsh进行索引、kafka等。带有内部模块(auditd,Apache,Nginx,System和MySQL),可通过一个指定命令来简化通用日志格式的收集,解析和可视化。 本文采用filebeat获取nginx日志传输给logstash 提前安装好nginx,步骤如下: # yum
ELK7.1.1+FileBeat 收集日志.pdf
07-22
基础ElasticSearch7.1.1版本搭建日志收集框架;采用FileBeat采集log日志,通过logstash过滤后导入ES
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
Docker引擎不同的日志驱动配置以及通过Filebeat采集容器日志的两种解决方案
weixin_42467874的博客
02-06 2043
我们可以使用 docker logs 命令查看 Docker 容器内部应用程序运行时所产生的日志。使用 docker logs 命令可以免除首先进入 Docker 容器,再打开应用程序的日志文件的过程。docker logs 会监控容器中操作系统的标准输出设备(STDOUT),一旦 STDOUT 有数据产生,就会将这些数据传输到另一个“设备”中,该 Docker 的驱动被称为“日志驱动”(Logging Driver)
docker搭建EFK(filebeat收集docker日志,展示到kibana
qq_39746321的博客
03-03 566
docker部署EFK,收集docker容器日志
docker容器日志收集方案(方案一 filebeat+本地日志收集
Hello_Error
04-14 1875
docker会通过的data volume映射让容器内的应用把日志写到容器外,然后就可以用Filebeat收集这些日志文件。 而docker容器的标准输出都会到宿主机这个目录下: /var/lib/docker/containers docker容器日志默认记录方式为 json-file 就是将日志以json格式记录在磁盘上 格式如下: { "log": "2018-11-16 01:24:30.372 INFO [demo1,786a42d3b893168f,786a42d3..
基于docker搭建ELK+filebeat收集docker容器日志
树叶的一生,只是为了归根么?
05-11 1094
环境 CentOS7 开始搭建 一、构建镜像 构建镜像的Dockerfile以及docker-compose都已经整理好 地址:https://github.com/Curtain-Wang/docker-elk 下载完以后上传到服务器,进入项目目录。 #构建elasticsearch镜像 cd elasticsearch docker build -t elasticsearch . cd .. #构建filebeat镜像 cd filebeat docker build -t fi.
filebeat 收集docker集群
这是一个将要崛起小达人
10-10 670
收集docker日志
docker filebeat
09-21
Docker中的Filebeat是一个轻量级的日志收集工具。下面是一种在Docker上配置Filebeat的方法: 1. 首先,拉取Filebeat镜像: ``` docker pull docker.elastic.co/beats/filebeat:7.9.2 ``` 2. 创建一个filebeat.docker.yml文件,并通过卷挂载将该文件挂载到容器中: ``` docker run -d \ --name=filebeat \ --user=root \ --volume="$(pwd)/filebeat.docker.yml:/usr/share/filebeat/filebeat.yml:ro" \ --volume="/var/lib/docker/containers:/var/lib/docker/containers:ro" \ --volume="/var/run/docker.sock:/var/run/docker.sock:ro" \ docker.elastic.co/beats/filebeat:7.9.2 filebeat -e -strict.perms=false \ -E output.elasticsearch.hosts=["elasticsearch:9200"] ``` 3. 运行Filebeat,确保它可以连接到正确的Elasticsearch主机和端口。 可以通过将Filebeat配置文件嵌入自定义镜像来部署Filebeat。以下是一个例子的Dockerfile,它实现了这一目的: ``` FROM docker.elastic.co/beats/filebeat:7.9.2 COPY filebeat.yml /usr/share/filebeat/filebeat.yml USER root RUN chown root:filebeat /usr/share/filebeat/filebeat.yml USER filebeat ``` 以上是在Docker中使用Filebeat的基本步骤。希望对你有所帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

咕咕咕zhou

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值