轉載自:https://www.cnblogs.com/soar1688/p/6849183.html
一、簡介
1、核心組成
ELK由Elasticsearch、Logstash和Kibana三部分組件組成;
Elasticsearch是個開源分佈式搜索引擎,它的特點有:分佈式,零配置,自動發現,索引自動分片,索引副本機制,restful風格接口,多數據源,自動搜索負載等。
Logstash是一個完全開源的工具,它可以對你的日誌進行收集、分析,並將其存儲供以後使用
kibana 是一個開源和免費的工具,它可以爲 Logstash 和 ElasticSearch 提供的日誌分析友好的 Web 界面,可以幫助您彙總、分析和搜索重要數據日誌。
2、四大組件
Logstash: logstash server端用來蒐集日誌;
Elasticsearch: 存儲各類日誌;
Kibana: web化接口用作查尋和可視化日誌;
Logstash Forwarder: logstash client端用來通過lumberjack 網絡協議發送日誌到logstash server;
3、ELK工作流程
在需要收集日誌的所有服務上部署logstash,作爲logstash agent(logstash shipper)用於監控並過濾收集日誌,將過濾後的內容發送到Redis,然後logstash indexer將日誌收集在一起交給全文搜索服務ElasticSearch,可以用ElasticSearch進行自定義搜索通過Kibana 來結合自定義搜索進行頁面展示。
4、ELK的幫助手冊
Docker Hub官網:https://hub.docker.com/r/sebp/elk/
Docker ELK使用文檔:http://elk-docker.readthedocs.io/
5、安裝前提條件:
Docker至少得分配3GB的內存;
Elasticsearch至少需要單獨2G的內存;
防火牆開放相關端口;
vm.max_map_count至少需要262144,附永久修改vm.max_map_count方法如下圖:
執行命令:sysctl -p 查看
二、安裝Docker ELK
1、執行命令:docker pull sebp/elk 將鏡像pull到本地來;
2、執行命令:docker run -p 5601:5601 -p 9200:9200 -p 5044:5044 -e ES_MIN_MEM=128m -e ES_MAX_MEM=1024m -it --name elk sebp/elk 將鏡像運行爲容器,由於我本機內存不符合安裝要求,爲了保證ELK能夠正常運行,加了-e參數限制使用最小內存及最大內存。
3、打開瀏覽器,輸入:http://<your-host>:5601,看到如下界面說明安裝成功
三、配置使用
1、使用命令:docker exec -it <container-name> /bin/bash 進入容器內
2、執行命令:/opt/logstash/bin/logstash -e 'input
{ stdin { } } output { elasticsearch { hosts => ["localhost"] } }'
注意:如果看到這樣的報錯信息 Logstash could not be started because there is already another instance using the configured data directory. If you wish to run multiple instances, you must change the "path.data" setting. 請執行命令:service logstash stop 然後在執行就可以了。
3、當命令成功被執行後,看到:Successfully started Logstash API endpoint {:port=>9600} 信息後,輸入:this is a dummy entry 然後回車,模擬一條日誌進行測試。
4、打開瀏覽器,輸入:http://<your-host>:9200/_search?pretty 如圖,就會看到我們剛剛輸入的日誌內容
5、打開瀏覽器,輸入:http://<your-host>:5601 點擊創建
6、看到如下界面,到此安裝結束。
