ELK+Filebeat + kibana 容器化

最新推荐文章于 2024-08-02 15:47:16 发布
最新推荐文章于 2024-08-02 15:47:16 发布
阅读量415 收藏 1
点赞数
分类专栏: docker elk+filebeat+kibana 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46545831/article/details/112967747
版权

声明

本文是以下面的文章知识作为基础的
1.filebeat+ logstash容器化
2.elaticsearch 容器化

工作流程图

在这里插入图片描述
编写Dockerfile
创建环境
先为这个小测试创建一个目录,作为各个容器的上下文环境

1 | mkdir  -p elk/{filebeat,logstash,elasticsearch}
2 | cd elk/

创建自定义的网络
当在一台宿主机上创建多个可以网络互通的容器时,建议不要使用默认的网桥,
因为我们之前在基础部分说过,默认的网桥,容器之间的通信需要使用彼此的 IP,这样比较麻烦。
所以我们使用自己创建的网桥,就可以使用彼此的容器名进行互相通信了,容器的名称会被转换为容器的主机名。

1 | docker network create -d bridge elk-net   #创建
2 | docker network ls |grep elk-net           # 查看
3 | docker ps |grep ela
4 | docker stop 2097af7a9e7e b67664c72256
5 | docker rm 2097af7a9e7e b67664c72256   #  删除之前创建的logstash和filebeat

运行容器

1 | docker run -d --rm --name=elasticsearch --network=elk-net -e "discovery.type=single-node" -p 9200:9200 docker.elastic.co/elasticsearch/elasticsearch:7.10.2

-d 后台运行此容器
–rm 由于是测试,所以当停止这个容器的时候同时删除这个容器
–network 连接到指定的网络
-p 映射端口到宿主机

检查 elasticserch 集群状态

1 | curl http://127.0.0.1:9200/_cat/health   # 输出结果如下图   ok!

在这里插入图片描述

2.logstash

a.准备管道配置文件
下面的配置是监听本机的 5044 端口接收 Fielbeat 的输入
并且将处理清洗过的事件数据输出到 elasticsearch

1 | cd elk/
2 | vim logstash/logstash_nginx.conf

代码如下

input {
  beats {
    port => 5044
    host => "0.0.0.0"
  }
}
filter {
  if ([fileset][module] == "nginx") {
    if ([fileset][name] == "access") {
      grok {
        match => { "message" => ["%{IPORHOST:[nginx][access][remote_ip]} - %{DATA:[nginx][access][user_name]} \[%{HTTPDATE:[nginx][access][time]}\] \"%{WORD:[nginx][access][method]} %{DATA:[nginx][access][url]} HTTP/%{NUMBER:[nginx][access][http_version]}\" %{NUMBER:[nginx][access][response_code]} %{NUMBER:[nginx][access][body_sent][bytes]} \"%{DATA:[nginx][access][referrer]}\" \"%{DATA:[nginx][access][agent]}\""] }
        remove_field => "message"
      }
      mutate {
        add_field => { "read_timestamp" => "%{@timestamp}" }
      }
      date {
        match => [ "[nginx][access][time]", "dd/MMM/YYYY:H:m:s Z" ]
        remove_field => "[nginx][access][time]"
      }
      useragent {
        source => "[nginx][access][agent]"
        target => "[nginx][access][user_agent]"
        remove_field => "[nginx][access][agent]"
      }
      geoip {
        source => "[nginx][access][remote_ip]"
        target => "[nginx][access][geoip]"
      }
    }
    else if [fileset][name] == "error" {
      grok {
        match => { "message" => ["%{DATA:[nginx][error][time]} \[%{DATA:[nginx][error][level]}\] %{NUMBER:[nginx][error][pid]}#%{NUMBER:[nginx][error][tid]}: (\*%{NUMBER:[nginx][error][connection_id]} )?%{GREEDYDATA:[nginx][error][message]}"] }
        remove_field => "message"
      }
      mutate {
        rename => { "@timestamp" => "read_timestamp" }
      }
      date {
        match => [ "[nginx][error][time]", "YYYY/MM/dd H:m:s" ]
        remove_field => "[nginx][error][time]"
      }
    }
  }
}
output {
  elasticsearch {
    hosts => ["elasticsearch:9200"] 
    manage_template => false
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
  }
  stdout { codec => rubydebug }  # 假如有问题,可以同时进行调试
}

b.Dockerfile

1 | cd elk/logstash/
2 | vim Dockerfile
  FROM docker.elastic.co/beats/filebeat:7.10.0
  COPY ./filebeat./sky.log /example.log
  COPY ./filebeat/filebeat.yml  /usr/share/filebeat/filebeat.yml

3 | docker build -t elk_logstash .
4 | docker run -d --rm --name=logstash71 --network=elk-net -v $PWD/logstash/logstash_nginx.conf:/usr/share/logstash/pipeline/logstash.conf docker.elastic.co/logstash/logstash:7.10.2

3.filebeat

1 | cd elk/filebeat/
2 | vim sky.log

a.日志文件如下

95.213.177.126 - - [18/Jul/2017:00:01:09 +0800] "POST http://check.proxyradar.com/azenv.php HTTP/1.1" 404 326 "https://proxyradar.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)" "-"
202.108.211.56 - - [18/Jul/2017:00:03:23 +0800] "GET http://1.1.1.1/ HTTP/1.1" 200 6228 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.21 (KHTML, like Gecko) Chrome/19.0.1042.0 Safari/535.21" "-"
221.228.109.90 - - [18/Jul/2017:01:52:17 +0800] "GET http://www.sharkyun.com/ HTTP/1.1" 200 6228 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0" "119.61.20.114"
221.228.109.90 - - [18/Jul/2017:01:52:17 +0800] "GET http://www.sharkyun.com/css/style_eeoweb.css HTTP/1.1" 200 11988 "https://www.sharkyun.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0" "119.61.20.114"
221.228.109.90 - - [18/Jul/2017:01:52:18 +0800] "GET http://www.sharkyun.com/mobile/js/deviceType.js HTTP/1.1" 200 1055 "https://www.sharkyun.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0" "119.61.20.114"
221.228.109.90 - - [18/Jul/2017:01:52:18 +0800] "GET http://www.sharkyun.com/js/jplayer/skin/black/css/style.css HTTP/1.1" 200 3339 "https://www.sharkyun.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0" "119.61.20.114"
221.228.109.90 - - [18/Jul/2017:01:52:18 +0800] "GET http://www.sharkyun.com/js/index_eeoweb.js HTTP/1.1" 200 910 "https://www.sharkyun.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0" "119.61.20.114"
221.228.109.90 - - [18/Jul/2017:01:52:18 +0800] "GET http://www.sharkyun.com/js/easySlider.js HTTP/1.1" 200 2431 "https://www.sharkyun.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0" "119.61.20.114"
221.228.109.90 - - [18/Jul/2017:01:52:18 +0800] "GET http://www.sharkyun.com/js/require_eeoweb.js HTTP/1.1" 200 7161 "https://www.sharkyun.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0" "119.61.20.114"
221.228.109.90 - - [18/Jul/2017:01:52:18 +0800] "GET http://www.sharkyun.com/js/jquery.js HTTP/1.1" 200 46467 "https://www.sharkyun.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0" "119.61.20.114"

b.准备配置文件

1 | cd elk/filebeat/
2 | vim filebeat.yml
filebeat.inputs:
- type: log
  paths:
    - /*.log

output.logstash
  hosts: ["logstash71:5044"]

构建和运行

1 | docker build -t filebeat:1.0 .
2 | docker run -d  filebeat:1.0

4.kibana

a. 默认的配置
kibana 的容器其实处于测试性的目的就可以直接运行了。
因为默认的配置文件中集群的 url 就是 http://elasticsearch:9200
下面是容器内默认的配置文件内容
/usr/share/kibana/config/kibana.yml

运行容器

1 | docker run -d  --name=kibana71 --network=elk-net -p 8090:5601 docker.elastic.co/kibana/kibana:7.10.2

检查是否自动发现了我们创建的索引
使用浏览器访问宿主机的 5601 端口
比如 http://127.0.0.1:5601

1 | curl http://127.0.0.1:5601
HTTP/1.1 302 Found
location: /spaces/enter
kbn-name: kibana
kbn-license-sig: ba0fe4d935c514ddecae8d90f73cdb6e886bfe16d04ecc1bdc01cedaf0e15766
cache-control: private, no-cache, no-store, must-revalidate
content-length: 0
Date: Wed, 20 Jan 2021 14:29:15 GMT
Connection: keep-alive

去浏览器使用 自己服务器ip+5601
在这里插入图片描述

运维 涛涛
关注
专栏目录
ELK 完整部署和使用 - 每天5分钟玩转 Docker 容器技术(90)
CloudMan6的博客
11-05 1082
本节讨论如何将日志导入 ELK 并进行图形展示。
从零开始的Docker [ 5 ] --- ELK+Filebeat + kibana 容器Docker compose
Neko的博客
01-20 499
文章目录容器技术 Docker 应用一、ELK 容器1.获取镜像2.启动二、Logstash 容器1.配置文件2.正常启动三、logstash 配置1.Log4j2 文件的方式配置2.Loging API 的方式配置a. 查看日志配置信息b. 更新日志级别c. 重置日志级别3.慢日志a.配置b.启用慢日志四、Filebeat 容器1.获取镜像2.设置配置文件3.运行容器a.制作日志文件b.使用自定义的配置文件运行容器五、ELK+Filebeat + kibana 容器1.elasticsearcha
利用 ELK 搭建 Docker 容器应用日志中心
weixin_30478757的博客
07-30 76
利用 ELK 搭建 Docker 容器应用日志中心 概述 应用一旦容器以后,需要考虑的就是如何采集位于 Docker 容器中的应用程序的打印日志供运维分析。典型的比如SpringBoot应用的日志收集。 本文即将阐述如何利用ELK日志中心来收集容器应用程序所产生的日志,并且可以用可视的方式对日志进行查询与分析,其架构如下图所示: 架构图 镜像准备 ...
ELK+filebeat
最新发布
XH722DF的博客
08-02 965
一、filebeat概述1、filebeat概念:filebeat日志收集工具和logstash相同filebeat是一款轻量级的日志收集工具,可以在非JAVA环境下运行。因此,filebeat常被用在非JAVAf的服务器上用于替代Logstash,收集日志信息。实际上,Filebeat几乎可以起到与Logstash相同的作用,可以将数据转发到Logstash、Redis或者是Elasticsearch中进行直接处理。为什么要用filebeat来收集日志?
ELK-V7.9.3 (elasticsearch+kibana+filebeat+cerebro)容器部署
qq_34613816的博客
12-20 866
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
kibana+docker_kubernetes-8:kibana容器
weixin_39903375的博客
11-29 87
原创;微信公众号:千里行走;受限图片大小限制,有些图片不是很清晰,可以到微信公众号查看;前置阅读:kubernetes-7:elasticsearch容器http://toutiao.com/item/6699441606832947723/提供helm和yaml两种部署方式。Helm部署步骤详见笔者git地址:https://github.com/hepyu/k8s-app-config/tr...
Centos7 docker-compose安装ELK+Filebeat.zip
10-16
在IT行业中,ELK(Elasticsearch、Logstash、Kibana)栈是广泛用于日志管理和分析的工具集合。配合Filebeat,可以构建出一个强大的日志收集、处理和可视系统。本教程将详细介绍如何在CentOS 7上利用docker-compose...
ELK+Filebeat+Kafka+Zookeeper日志分析系统搭建
wwwu1998的博客
07-14 930
ELK+Filebeat+Kafka+Zookeeper日志分析系统搭建
基于docker搭建单机版ELK+filebeat+kafka
qq_40969452的博客
03-26 3577
上一节写了最简单架构的搭建和日志采集:传送门 主要有这几种架构方式 1. Elasticsearch + Logstash + Kibana 每台机器(客户端)上部署Logstash,logstash收集了数据直接往es里面写,es分析日志,kibana查询es的数据做展示。 这是一种最简单的架构。这种架构虽然是官网介绍里的方式,但是往往在生产中很少使用。因为这样要在每台机器上都部署logstash,资源消耗比较大。 2. Elasticsearch + Logstash + filebeat +
docker-compose配置elk + filebeat(版本:7.16.1)
paidaxinga的博客
12-29 2822
docker-compose配置elk + filebeat(版本:7.16.1)前言1 环境2 拉取镜像3 创建自定义网络4 elasticsearch配置4.1 创建目录4.2 配置elasticsearch.yml文件5 kibana配置5.1 配置kibana.yml文件6 logstash配置6.1 logstash.yml文件6.2 my.conf文件7 filebeat配置7.1 创建测试目录7.2 配置filebeat.yml文件8 docker-compose.yml文件配置8.1 配置内
filebeat+elasticSearch+kibana 学习体会
07-31
就是学习这三个的一些心得体会,适合初学者,适合给他人讲解使用!
详解利用ELK搭建Docker容器应用日志中心
09-30
主要介绍了详解利用ELK搭建Docker容器应用日志中心,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
filebeat+elasticsearch+kibana在Linux安装详细步骤
08-01
详细介绍了日志系统的安装,包括filebeatkibana和elasticsearch的基本安装步骤以及注意的地方,当然,没有加权限管理,有需要权限管理的给我留言
Beats:如何在 Docker 容器中运行 Filebeat
Elastic 中国社区官方博客
05-19 3419
今天在这篇博客中,我们将学习如何在容器环境中运行 Filebeat。我们在 Host 机器上部署 Elasticsearch 及 Kibana。然后在 Docker 里部署 NGINX。我们使用 Filebeat 来收集 NGINX 里的日志。这个想法是 Filebeat 容器应该从客户端机器上运行的所有容器收集所有日志,并将它们发送到主机上运行的 Elasticsearch。我的主机的 IP 地址是 192.168.0.3。
通过docker容器技术部署ELK日志分析系统+Filebeat
漫步技术小栈的博客
08-30 1082
近来各个项目都顺利完成,通过了自动运维。想把各个系统的日志统一管理起来,记得之前有朋友推荐过,后来因为时间原因一直没有上线。这两天简单研究了一下,想通过最简单直接的方法来完成而且可以快速部署完成。 现将整个过程重要步骤做一个MARK。 环境:centos7 + docker1.13.1 +ELK最新版本:7.3.0 Filebeat 7.3.-1 一、服务端安装docker就不多讲了,...
分布式日志分析系统(一):基于Elasticsearch+Filebeat+Kibana的搭建
小亦的博客
07-23 5246
0、引言   最近在实习做了一个课题,关于分布式的日志分析系统的部署,一般做这一块,网上有现成的ELK框架(Elasticsearch+Logstash+Kibana)完成,老大说Logstash在服务器上部署资源消耗比较大,推荐用Filebeat,于是我就简单地搭了下环境,跑了起来。话不多说,直接上干货。 1、安装JDK,至少是1.8版本的,网上有很多攻略,可以找一个看看;   在cmd下...
elasticsearch+filebeat+kibana实现系统日志收集
chenfang8712的专栏
08-01 1973
实现elasticsearch+filebeat+kibana实现系统日志收集
elasticsearch+filebeat+kibana提取多行日志
weixin_30662011的博客
05-21 303
filebeat的配置文件filebeat.yml以下三行去掉注释 multiline.pattern: ^\[ multiline.negate: true //false改为true multiline.match: after 查看可以正常显示多行日后日志了 转载于:https://www.cnblogs.com/linyouyi/p/108...
源码安装ELK+filebeat+sentinl
05-19
以下是ELK+filebeat+sentinl的源码安装步骤: 1. 安装Java ELK需要Java运行环境,所以首先需要安装Java。可以在Oracle官网上下载适合自己系统的Java安装包,然后按照提示进行安装。 2. 安装Elasticsearch 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值