(四)ELK 完整部署和使用上一節(jié)我們已經(jīng)[部署了容器化的 ELK],,本節(jié)討論如何將日志導(dǎo)入 ELK 并進(jìn)行圖形化展示,。 幾乎所有的軟件和應(yīng)用都有自己的日志文件,容器也不例外,。前面我們已經(jīng)知道 Docker 會(huì)將容器日志記錄到 要實(shí)現(xiàn)這一步其實(shí)不難,,因?yàn)?ELK 提供了一個(gè)配套小工具 Filebeat,它能將指定路徑下的日志文件轉(zhuǎn)發(fā)給 ELK,。同時(shí) Filebeat 很聰明,,它會(huì)監(jiān)控日志文件,當(dāng)日志更新時(shí),,F(xiàn)ilebeat 會(huì)將新的內(nèi)容發(fā)送給 ELK,。 (1)安裝 Filebeat下面在 Docker Host 中安裝和配置 Filebeat。
當(dāng)你看到這篇文章時(shí),,F(xiàn)ilebeat 可能已經(jīng)有了更新的版本,,請(qǐng)參考最新的安裝文檔 https://www./guide/en/beats/filebeat/current/filebeat-installation.html (2)配置 FilebeatFilebeat 的配置文件為
首先回答第一個(gè)問(wèn)題。 在
接下來(lái)告訴 Filebeat 將這些日志發(fā)送給 ELK。 Filebeat 可以將日志發(fā)送給 Elasticsearch 進(jìn)行索引和保存,;也可以先發(fā)送給 Logstash 進(jìn)行分析和過(guò)濾,,然后由 Logstash 轉(zhuǎn)發(fā)給 Elasticsearch。 為了不引入過(guò)多的復(fù)雜性,,我們這里將日志直接發(fā)送給 Elasticsearch,。 如果要發(fā)送給 Logstash,可參考后半部分的注釋,。 當(dāng)前的日志處理流程如下圖所示: (3)啟動(dòng) FilebeatFilebeat 安裝時(shí)已經(jīng)注冊(cè)為 systemd 的服務(wù),,可以直接啟動(dòng)服務(wù)。
(4)管理日志Filebeat 啟動(dòng)后,,正常情況下會(huì)將監(jiān)控的日志發(fā)送給 Elasticsearch,。刷新 Elasticsearch 的 JSON 接口 http://[Host IP]:9200/_search?pretty 進(jìn)行確認(rèn)。 這次我們能夠看到 Elasticsearch 已經(jīng)創(chuàng)建了日志的索引并保存起來(lái),接下來(lái)是在 Kibana 中展示日志,。 首先需要配置一個(gè) 指定
點(diǎn)擊 點(diǎn)擊 Kibana 左側(cè) 下面我們啟動(dòng)一個(gè)新的容器,該容器將向控制臺(tái)打印信息,,模擬日志輸出,。
刷新 Kibana 頁(yè)面或者點(diǎn)擊右上角 搜索圖標(biāo),馬上就能看到 busybox 的日志,。 Kibana 也提供了強(qiáng)大的查詢(xún)功能,,比如在搜索框里輸入關(guān)鍵字 我們這里只是簡(jiǎn)單地將日志導(dǎo)入 ELK 并樸素地顯示出來(lái),,實(shí)際上 ELK 還可以對(duì)日志進(jìn)行歸類(lèi)匯總,、分析聚合、創(chuàng)建炫酷的 Dashboard 等,,可以挖掘的內(nèi)容很多,,玩法很豐富。由于這個(gè)教程的重點(diǎn)是容器,,這里就不過(guò)多展開(kāi),。下面這張圖可以感受一下 ELK 的能力,更多的功能留給大家自己去探索,。 |
|
來(lái)自: 小世界的野孩子 > 《待分類(lèi)》