上节我们已经部署了容器化的ELK,本节我们学习如何将日志导入ELK并进行图形化展示。
几乎所有的软件和应用都有自己的日志文件,容器也不例外。前面我们已经知道Docker会将容器日志记录到 /va/lib/docker/containers/<containers ID>/<container ID>-json.log ,那么只要我们能够将此文件发送给ELK就可以实现日志管理。
要实现这一步其实不难,因为ELK提供了一个配套小工具 Filebeat ,他能将指定路径下的日志文件转发给ELK。同时Filebeat很聪明,他会监控日志文件,当日志更新时,Filebeat会将新的内容发送给ELK。
安装Filebeat
root@host1:~# curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.0.1-amd64.deb
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 13.0M 100 13.0M 0 0 245k 0 0:00:54 0:00:54 --:--:-- 384k
root@host1:~# dpkg -i filebeat-7.0.1-amd64.deb
Selecting previously unselected package filebeat.
(Reading database ... 66499 files and directories currently installed.)
Preparing to unpack filebeat-7.0.1-amd64.deb ...
Unpacking filebeat (7.0.1) ...
Setting up filebeat (7.0.1) ...
Processing triggers for systemd (229-4ubuntu21.21) ...
Processing triggers for ureadahead (0.100.0-19) ...
配置Filebeat
Filebeat 的配置文件为 /etc/filebeat/filebeat.yml 我们需要告诉Filebeat两件事:
1、监控哪些日志文件 -- 见下面paths部分
2、将日志发送到哪里 -- 见下面output部分,可以发送给Elasticsearch,也可以发送给Logstash
root@host1:~# cat /etc/filebeat/filebeat.yml | grep -v '#'
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
- /var/lib/docker/containers/*/*.log
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
setup.template.settings:
index.number_of_shards: 1
setup.kibana:
output.elasticsearch:
hosts: ["localhost:9200"]
#output.logstash:
# The Logstash hosts
#hosts: ["localhost:5044"]
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
上面的配置大概如下图所示
启动 Filebeat
安装的时候已经将Filebeat注册为 systemd 的服务,用的时候直接启动即可
root@host1:~# systemctl start filebeat.service
管理日志
[root@makeISO shells]# curl -s http://10.12.31.211:9200/_search?pretty | jq .hits.hits[5]
{
"_index": "filebeat-7.0.1-2019.05.13-000001",
"_type": "_doc",
"_id": "325LsWoBFnozufrcnyIX",
"_score": 1,
"_source": {
"@timestamp": "2019-05-13T13:04:41.668Z",
"input": {
"type": "log"
},
"ecs": {
"version": "1.0.0"
},
"host": {
"id": "f30f106ea21f7a1abddeb5fa5c91ad7e",
"containerized": false,
"name": "host1",
"hostname": "host1",
"architecture": "x86_64",
"os": {
"family": "debian",
"name": "Ubuntu",
"kernel": "4.4.0-31-generic",
"codename": "xenial",
"platform": "ubuntu",
"version": "16.04.1 LTS (Xenial Xerus)"
}
},
"agent": {
"version": "7.0.1",
"type": "filebeat",
"ephemeral_id": "f1376a70-18cd-40ec-b48f-b984da5f3de0",
"hostname": "host1",
"id": "fd05d865-a43a-4baf-bbfb-1a82aaceb903"
},
"log": {
"offset": 234,
"file": {
"path": "/var/log/a.log" # 为了方便控制日志的内容,这里将监控日志设置成了/var/log 下的 a.log、b.log、c.log
}
},
"message": "1"
}
}
配置 index pattern 告诉Kibana查询和分析 Elasticsearch中的哪些日志
.png)
.png)
指定 index pattern 为 filebeat-* ,这与Elasticsearch中的index一致,然后点击下一步按钮
.png)
Time Filter field name 选择 @timestamp,然后点击创建按钮
.png)
创建完成后,点击左侧的 Discover 按钮,便可以看到收集到的日志。
.png)
检索日志内容
root@host1:/var/log# echo test_log_message >> a.log
.png)
.png)
上面只是简单的将日志导入 ELK 并朴素的显示出来,实际上 ELK 还可以对日志进行归类汇总、分析聚合、创建炫酷的Dashboard等。可以挖掘的内容很多,用法很丰富。
- HDFS部署测试记录(2019/05)
目录 HDFS部署测试记录 0.HDFS基础知识 1.基本组成结构与文件访问过程 2.NameNode启动时如何维护元数据 3.HDFS文件上传流程 1.系统环境 1.安装大致记录: 2.磁盘分区 3 ...
- 2019/05/13 JAVA虚拟机堆内存调优
-Xms4000m 堆内存初始值 * -Xmx4000m 堆内存最大值 * -XX:+PrintGCDetails 打印GC信息 * -XX:+UseSerialGC 使用串行GC * -XX:+Pr ...
- Heartbeat took longer than "00:00:01" at "09/06/2019 05:08:08 +00:00".
.netcore在k8s+docker+linux,部署后,偶尔会报这样的警告 Warn:Microsoft.AspNetCore.Server.KestrelHeartbeat took longe ...
- 精讲 使用ELK堆栈部署Kafka
使用ELK堆栈部署Kafka 通过优锐课的java架构学习分享,在本文中,我将展示如何使用ELK Stack和Kafka部署建立弹性数据管道所需的所有组件. 在发生生产事件后,恰恰在你最需要它们时,日 ...
- Docker环境 ELK 快速部署
Docker环境 ELK快速部署 环境 Centos 7.4 , Docker version 17.12 Docker至少3GB内存: #内核配置 echo ' vm.max_map_count = ...
- ELK 安装部署实战 (最新6.4.0版本)
一.实战背景 根据公司平台的发展速度,对于ELK日志分析日益迫切.主要的需求有: 1.用户行为分析 2.运营活动点击率分析 作为上述2点需求,安装最新版本6.4.0是非常有必要的,大家可根据本人之前博 ...
- 每日一练ACM 2019.04.13
2019.04.13 第1002题:A+B Proble Ⅱ Problem DescriptionI have a very simple problem for you. Given two in ...
- ELK Stack部署
部署ELK Stack 官网:https://www.elastic.co 环境准备: ip hostname 服务 用户.组 192.168.20.3 node2003 kibana6.5,file ...
- ELK 完整部署和使用 - 每天5分钟玩转 Docker 容器技术(90)
上一节已经部署了容器化的 ELK,本节讨论如何将日志导入 ELK 并进行图形化展示. 几乎所有的软件和应用都有自己的日志文件,容器也不例外.前面我们已经知道 Docker 会将容器日志记录到 /var ...
随机推荐
- Jmeter -- 监听 -- 查看每个请求的启动时间等信息
步骤: 1. 添加监听器 Add --> Listener --> View Results in Table 2. 执行线程组,查看监听信息
- MySQ彻底删除与安装配置
彻底删除 1.查看 MySQL 安装了哪些东西 rpm -qa |grep -i mysql 2.卸载 -.el7.x86_64 -.el7.x86_64 .noarch -.el7.x86_64 - ...
- Reduce pandas memory size
有关pandas存储的理论 简单又实用的pandas技巧:如何将内存占用降低90% 代码 Reducing DataFrame memory size by ~65% 上篇的改进 缓解pandas中D ...
- mybatis逆向工程的text类型的一个小坑
数据库如果配有text的数据类型的 mybatis生成逆向工程的时候会单独将text提取出来 ByExampleWithBLOBs 会生成上面后缀的查询和修改的语句 因此查询起来会产生没有必要的麻烦, ...
- 191016Django基础
一.简单的webserver框架 from wsgiref.simple_server import make_server def login(req): #view函数 print(req[&qu ...
- 32位下操作mongodb心得
本文出处:http://blog.csdn.net/chaijunkun/article/details/7236911,转载请注明. 随着互联网的变革,互联网的内容生成方式也逐渐地从网站生成转为用户 ...
- Python学习笔记:字典型的数据结构
根据书上的定义,字典是将数据与键相关联,这个键相当于是一组数据的一个名称,键必须是唯一的. python中提供了内置的映射类型--字典.映射其实就是一组key和value以及之间的映射函数,其特点是: ...
- spark streaming 2: DStream
DStream是类似于RDD概念,是对数据的抽象封装.它是一序列的RDD,事实上,它大部分的操作都是对RDD支持的操作的封装,不同的是,每次DStream都要遍历它内部所有的RDD执行这些操作.它可以 ...
- D2下午
前言 至于为什么D2要分上下午,唯一的原因就是lyd那个毒瘤用了一上午讲他昨天要讲的鬼畜东西,所以今天下午才开始讲数论了 对了,补一下lyd的数论人 <数论人>(大雾) 数论的光束是歌德巴 ...
- SuperSocket 学习笔记-客户端
客户端: 定义 private AsyncTcpSession client; 初始化 client = new AsyncTcpSession(); client.Connected += Clie ...
