基於Docker容器部署ELK日誌分析系統

部署ELK日誌分析系統，比較消耗計算機硬件，若是使用虛擬機進行測試部署，建議分配較多的硬件資源，不然，當elk容器運行後，會使其沒法正常運行。我這裏將分配給docker主機5G內存，四個CPU。

1、環境準備

我這裏使用一臺docker主機（如須要部署docker服務，能夠參考博文：Docker的安裝詳細配置），其IP地址爲192.168.20.6，在其之上運行elk容器。

2、配置docker主機運行elk容器

[root@docker01 ~]# echo "vm.max_map_count = 655360" >> /etc/sysctl.conf     
#更改其虛擬內存
[root@docker01 ~]# sysctl -p     #刷新內核參數
vm.max_map_count = 655360        #若容器不能正常運行，可適當調大此參數值
[root@docker01 ~]# docker pull sebp/elk            #elk鏡像大小在2G以上，因此建議先下載到本地，再運行容器
[root@docker01 ~]# docker run -itd -p 5601:5601 -p 9200:9200 -p 5044:5044 -e ES_HEAP_SIZE="3g" -e LS_HEAP_SIZE="1g" --name elk sebp/elk
#基於sebp/elk運行elk容器
# 「-e ES_HEAP_SIZE="3g" 」：是限制elasticsearch所使用的內存大小
# -e LS_HEAP_SIZE="1g" ：限制logstash使用的內存大小

至此，便可經過瀏覽器訪問docker主機的5601端口訪問到如下界面了（如下進行的全部操做，看圖進行便可，都已標記在圖上了）：

當看到如下頁面後（注意選擇RPM選項卡），根據下面的提示命令在咱們的docker主機上執行便可。

執行以上頁面的提示命令操做，以下：

[root@docker01 ~]# curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.4.0-x86_64.rpm
#下載rpm包
[root@docker01 ~]# rpm -ivh filebeat-7.4.0-x86_64.rpm    #安裝下載的rpm包
[root@docker01 ~]# vim /etc/filebeat/filebeat.yml
======== Filebeat inputs ==========
filebeat.inputs:         #修改filebeat.inputs下面的內容
  enabled: true           #改成true，以便啓用filebeat
  paths:         #修改path段落，添加要收集的日誌路徑
    - /var/log/messages         #指定一下系統日誌的文件路徑
    - /var/lib/docker/containers/*/*.log     #這個路徑是全部容器存放的日誌路徑
========== Kibana =============
host: "192.168.20.6:5601"      #去掉此行註釋符號，並填寫kibana的監聽端口及地址
------------ Elasticsearch output ------------ 
  hosts: ["192.168.20.6:9200"]    #修改成Elasticsearc的監聽地址及端口
#修改完上述配置後，保存退出便可
[root@docker01 ~]# filebeat modules enable elasticsearch     #啓用elasticsearch模塊
[root@docker01 ~]# filebeat setup   #初始化filebeat，等待時間稍長
Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Loaded machine learning job configurations
Loaded Ingest pipelines
#出現上述信息，纔是初始化成功
[root@docker01 ~]# service filebeat start     #啓動filebeat

當執行完上述操做後，便可點擊下面的「Dicover」，進行查看日誌的操做了，以下：

若最近十五分鐘內有新的日誌，而且docker主機的時間也處於同步狀態，那麼能夠考慮執行下面的命令，以便重啓elk這個容器再進行查看。

[root@docker01 ~]# systemctl daemon-reload       #從新加載配置文件
[root@docker01 ~]# docker restart elk          #重啓elk容器

當能夠正常訪問到上面的頁面時，這時咱們運行一個容器，讓其每隔十秒鐘輸出一段字符，而後查看kibana是否能夠採集到該容器相關的日誌信息，以下：

[root@docker01 ~]# docker run busybox sh -c 'while true;do echo "this is a log message from container busybox!";sleep 10;done'
#運行這個容器，每隔十秒輸出一段字符

而後看下圖，依次操做，以下：

若是可以看到相應的日誌信息，則說明elk這個容器運行正常。

———————— 本文至此結束，感謝閱讀 ————————