ELK日誌分析系統(1)-基本環境搭建

 

1. 概述

　　ELK = Elasticsearch + Logstash + Kibana

　　Elasticsearch是實時全文搜索和分析引擎，提供蒐集、分析、存儲數據三大功能；是一套開放REST和JAVA API等結構提供高效搜索功能，可擴展的分佈式系統。它構建於Apache Lucene搜索引擎庫之上。
　　

　　Logstash是一個用來蒐集、分析、過濾日誌的工具。它支持幾乎任何類型的日誌，包括系統日誌、錯誤日誌和自定義應用程序日誌。它能夠從許多來源接收日誌，這些來源包括 syslog、消息傳遞（例如 RabbitMQ）和JMX，它可以以多種方式輸出數據，包括電子郵件、websockets和Elasticsearch。

　　Kibana是一個基於Web的圖形界面，用於搜索、分析和可視化存儲在 Elasticsearch指標中的日誌數據。它利用Elasticsearch的REST接口來檢索數據，不只容許用戶建立他們本身的數據的定製儀表板視圖，還容許他們以特殊的方式查詢和過濾數據。

2. 服務管理

　2.1. docker-compose配置

　　compose的配置文件路徑:docker-elk/docker-compose.yml

　　能夠根據須要設置compose的相關參數

　2.2. 啓動容器

　　cd docker-elk

　　# 後臺啓動

　　docker-compose up -d

 　  # 查看容器

　　elasticsearch  開放9200，9300端口

      logstash開放5000-500一、9600、5044的tcp端口

　　kibana開放5601端口

　　驗證elasticsearch安裝成功：http://192.168.1.165:9200, 若是有以下顯示錶示安裝成功:

　　

　　驗證kibana安裝成功：http://192.168.1.165:5601, 若是有以下顯示錶示安裝成功:

　　

 

　2.2. 關閉容器

　　　　sudo docker-compose down -v

　　　　-v表示清空數據卷，會elasticsearch存儲的數據卷清空

 

　2.2. 重啓容器

　　　　sudo docker-compose restart不清空數據卷

　　　　任意修改elk的配置的時候都須要重啓

 

原文出處：https://www.cnblogs.com/zhanchenjin/p/11648385.html