前言
docker容器中的日志会随着docker的关闭而消失,需要一个持久化的日志落地方案
本编介绍elasticsearch+kibana+filebeat的搭建如何收集各docker容器的日志
一、elasticsearch安装与配置
ES下载:
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.3.2.tar.gz解
压到/usr目录下:tar zxvfelasticsearch-6.3.2.tar.gz –c /usr/
创建es用户并赋权:useradd es&& chown -R es:es /usr/elasticsearch-6.3.2.tar.gz/
修改elasticsearch配置文件:
vim /usr/elasticsearch-6.3.2/config/elasticsearch.yml
elasticsearch不能用root启动所以切换成刚创建的用户:su es
执行:/usr/elasticsearch-6.3.2/bin/./elasticsearch
如果出现如下报错:
对此文件赋权:chmod 777 /usr/jdk1.8.0_141/jre/bin/java
再次执行es启动 出现如下报错:
修改elasticsearch虚拟机参数(默认1G):
vim /usr/elasticsearch-6.3.2/config/jvm.options
再次启动elasticsearch,出现新的报错信息
切换成root账号:su root
1. 修改:vim /etc/security/limits.conf
添加:es soft nofile 65536
es hard nofile 65536
2. 修改 vim /etc/sysctl.conf
添加:vm.max_map_count=262144
刷新:sysctl -p
再次启动elasticsearch:/usr/elasticsearch-6.3.2/bin/./elasticsearch -d (后台启动)
校验elasticsearch是否启动成功:curl 192.168.1.119:9200
或者浏览器访问:
二、kibana安装与配置
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.3.2-x86_64.rpm
安装:yum install -y kibana-6.0.0-x86_64.rpm
修改:vim /etc/kibana/kibana.yml
开机自启与启动kibana: systemctl enable kibana && systemctl start kibana
页面访问kibana:
三、filebeat安装与配置
日志收集:
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.3.2-x86_64.rpm
安装:rpm -ivh filebeat-6.3.2-x86_64.rpm
修改filebeat.yml文件:vim /etc/filebeat/filebeat.yml
搭建完毕后在kibana上回发现抛错信息回被分message显示 所以顺道在此文件中修改
保存退出,启动filebeat: systemctl start filebeat.service
停止filebeat服务:systemctl stop filebeat.service
至此EFK日志系统搭建完毕,下面我来介绍如何用EFK收集docker容器日志
四、EFK采集docker容器日志
以zuul服务为例:
查看代码中logback配置:
修改zuul的服务栈文件:
服务启动会发现报错没有权限访问容器logs文件夹下的zuul.log
修改设置 vim /etc/sysconfig/selinux
然后再次启动服务后可以看到宿主机中此目录以及同步到了zuul.log
然后创建kibana的索引:
