以下安裝都是以 ~/ 目錄作為安裝根目錄。
ElasticSearch
下載鏡像:
$ sudo docker pull elasticsearch:5.5.0
運(yùn)行ElasticSearch容器:
$ sudo docker run -it -d -p 9200:9200 -p 9300:9300 \
-v ~/elasticsearch/data:/usr/share/elasticsearch/data \
--name myes elasticsearch:5.5.0
特別注意的是如果使用v6以上版本會(huì)出現(xiàn)jdk的錯(cuò)誤����,我們查看日志
查看日志:
OpenJDK 64-Bit Server VM warning: Option UseConcMarkSweepGC was deprecated in version 9.0 and will likely be removed in a future release.
網(wǎng)上找到大概的意思是:
jdk9對(duì)elasticSearch不太友好(版本太新)����,必須使用JDK8��,本人使用的是JDK8u152(jdk-8u152-windows-x64.exe)���。如果使用JDK9��,使用elasticSearch-rtf(v5.1.1)����,會(huì)出現(xiàn)下面的錯(cuò)誤����,請(qǐng)?zhí)貏e注意,elasticSearch6.0的版本則必須使用JDK9�����,否則官網(wǎng)下載的msi不能安裝成功����,原因還沒(méi)有去仔細(xì)檢查。
所以也是一個(gè)很坑爹的問(wèn)題����,所以我干脆直接就安裝v5.5.0穩(wěn)定版本吧。
Logstash
下載鏡像:
$ sudo docker pull logstash:5.5.0
新建配置文件:
$ mkdir ~/logstash/conf.d && cd logstash/conf.d
$ vim logstash.conf
logstash.conf:
input {
beats {
port => 5044 # 此端口需要與 filebeat.yml 中的端口相同
}
file {
path => "/data/logs"
# start_position => "beginning"
}
}
filter {
#grok {
# match => { "message" => "%{COMBINEDAPACHELOG}" }
#}
#date {
# match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"]
#}
grok {
patterns_dir => "/etc/logstash/conf.d/patterns"
match => {"message" => "%{TIMESTAMP_ISO8601:time}\S%{MYSELF:msgid}%{MYSELF:method}%{MYDATA:data}%{MYSELF:UserInfo}\S%{LOGLEVEL:level}\S%{MYSELF:thread}%{MYSELF:application}%{MYSELF:ip}"}
}
date {
#match => [ "time", "YYYY-MM-dd HH:mm:ss,SSS" ]
match => [ "time", "ISO8601" ]
target => "@timestamp"
timezone => "Asia/Phnom_Penh"
}
}
output {
stdout {
codec => rubydebug
}
elasticsearch {
action => "index"
hosts => ["172.17.10.114:9200"]
index => "%{[fields][indexname]}-%{+YYYY.MM.dd}"
}
}
運(yùn)行Logstash容器:
$ sudo docker run -it -d -p 5044:5044 \
-v ~/logstash/conf.d:/etc/logstash/conf.d \
-v ~/logstash/data/logs:/data/logs \
--name logstash logstash:5.5.0 \
-f /etc/logstash/conf.d/logstash.conf
Kibana
下載鏡像:
$ sudo docker pull kibana:5.5.0
新建配置文件:
$ mkdir ~/kibana && cd ~/kibana
$ vim kibana.yml
kibana.yml:
server.port: 5601
server.host: "0.0.0.0"
elasticsearch.url: "http://172.17.10.114:9200"
運(yùn)行Kibana容器:
$ sudo docker run -it -d -p 5601:5601 \
-v ~/kibana:/etc/kibana \
--name kibana kibana:5.5.0
Filebeat
Filebeat需要部署在需要收集日志的服務(wù)器上�。
下載鏡像:
$ sudo docker pull docker.elastic.co/beats/filebeat:5.5.0
新建配置文件:
filebeat.prospectors:
- type: log
paths:
- ~/filebeat/logs # 指定需要收集的日志文件的路徑
fields:
indexname: xxx # 這里填寫(xiě)項(xiàng)目名稱(chēng),對(duì)應(yīng)index => "%{[fields][indexname]}-%{+YYYY.MM.dd}"
output.logstash:
hosts: ["172.17.10.114:5044"]
運(yùn)行Filebeat容器:
$ sudo docker run -it -d \
-v ~/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml \
--name filebeat docker.elastic.co/beats/filebeat:5.5.0
附上一張ELK結(jié)構(gòu)流程圖:
以上就是本文的全部?jī)?nèi)容�����,希望對(duì)大家的學(xué)習(xí)有所幫助��,也希望大家多多支持腳本之家���。
