1.ELK 简介
ELK 是三个开源软件的缩写, 分别表示: Elasticsearch , Logstash, Kibana , 它们都是开源软件. 新增了一个 FileBeat, 它是一个轻量级的日志收集处理工具 (Agent),Filebeat 占用资源少, 适合于在各个服务器上搜集日志后传输给 Logstash, 官方也推荐此工具.
Elasticsearch 是个开源分布式搜索引擎, 提供搜集, 分析, 存储数据三大功能. 它的特点有: 分布式, 零配置, 自动发现, 索引自动分片, 索引副本机制, restful 风格接口, 多数据源, 自动搜索负载等.
Logstash 主要是用来日志的搜集, 分析, 过滤日志的工具, 支持大量的数据获取方式. 一般工作方式为 c/s 架构, client 端安装在需要收集日志的主机上, server 端负责将收到的各节点日志进行过滤, 修改等操作在一并发往 Elasticsearch 上去.
Kibana 也是一个开源和免费的工具, Kibana 可以为 Logstash 和 Elasticsearch 提供的日志分析友好的 web 界面, 可以帮助汇总, 分析和搜索重要数据日志.
Filebeat 隶属于 Beats. 目前 Beats 包含四种工具: Packetbeat(搜集网络流量数据),Topbeat(搜集系统, 进程和文件系统级别的 CPU 和内存使用情况等数据),Filebeat(搜集文件数据),Winlogbeat(搜集 Windows 事件日志数据)
2. 安装 logstash
1. 拉取镜像
docker pull logstash:5.6.11
2. 创建目录
- mkdir /docker/logstash
- cd /docker/logstash
3. 创建配置文件
touch logstash.config
文件内容:
- input
- {
- udp
- {
- port => 8888
- codec => JSON
- }
- }
- output
- {
- Elasticsearch{
- hosts => "192.168.186.129:9200"
- index => "indextest"
- }
- stdout{
- codec => rubydebug
- }
- }
4. 创建, 启动 logstash 容器
docker run -p 8888:8888/udp -d -v /docker/logstash:/config-dir logstash:5.6.11 -f /config-dir/logstash.conf
3. 安装 Elasticsearch
1. 拉取镜像
docker pull Elasticsearch:5.6.11
2. 创建数据目录
mkdir /docker/es && mkdir /docker/es/data
3. 创建 ES 容器并启动
- docker run -d -p 9200:9200 -p 9300:9300 \
- -v /docker/es/data:/usr/share/Elasticsearch/data \
- Elasticsearch:5.6.11
4. 测试
图片描述 (最多 50 字)
5. 启动问题排查
默认启动 ES 分配 2G 内存, 如提示内存不足, 可进行修改
find /var/lib/docker/overlay/ -name jvm.options
查到如下结果:
- /var/lib/docker/overlay2/1fb59070a037d02dccfc33e15d6e24cf9127882cc19521a1654192d3d3b1c7ec/diff/etc/logstash/jvm.options
- /var/lib/docker/overlay2/d2b9e8e913dff7c015cbb27b34ca4b9921bdd43869a1bfb1413af468cb14465e/diff/etc/Elasticsearch/jvm.options
- /var/lib/docker/overlay2/dd2634a4b14f8ef455ae969466af25d147f508c0e9785bb3e7703eb933675ecf/merged/etc/logstash/jvm.options
修改 Elasticsearch/jvm.options
把
-Xms2g 改为 -Xms512m
-Xmx2g 改为 -Xmx512m
6. 安装 IK 分词器
a.docker exec -it 容器 ID
b.Elasticsearch-plugin install
重启容器加载 IK 分词器时候会保存, IK 分词器下缺少配置文件, 没搞明白为什么 5.6.11 安装的 IK 插件缺少了, 宿主机下载了解压后 Copy 到容器中
docker cp ik/config 容器 ID:/usr/share/Elasticsearch/plugins/analysis-ik
重启容器
测试安装的分词器:
- GET _analyze?pretty
- {
- "analyzer": "ik_smart",
- "text": "*** 国歌"
- }
4. 安装 kibana
1. 拉取 kibana 镜像
docker pull kibana:5.6.11
2. 创建 kibana 容器并启动
docker run -p 5601:5601 -e ELASTICSEARCH_URL= http://192.168.186.129:9200/ -d kibana:5.6.11
3. 测试
图片描述 (最多 50 字)
来源: http://www.bubuko.com/infodetail-2856130.html