共計(jì) 2440 個(gè)字符，預(yù)計(jì)需要花費(fèi) 7 分鐘才能閱讀完成。

這篇文章將為大家詳細(xì)講解有關(guān)基于 Docker 容器如何部署 ELK 日志分析系統(tǒng)，丸趣 TV 小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

部署 ELK 日志分析系統(tǒng)，比較消耗計(jì)算機(jī)硬件，如果使用虛擬機(jī)進(jìn)行測(cè)試部署，建議分配較多的硬件資源，否則，當(dāng) elk 容器運(yùn)行后，會(huì)使其無(wú)法正常運(yùn)行。我這里將分配給 docker 主機(jī) 5G 內(nèi)存，四個(gè) CPU。

一、環(huán)境準(zhǔn)備

我這里使用一臺(tái) docker 主機(jī)（如需要部署 docker 服務(wù)，可以參考博文：Docker 的安裝詳細(xì)配置），其 IP 地址為 192.168.20.6，在其之上運(yùn)行 elk 容器。

二、配置 docker 主機(jī)運(yùn)行 elk 容器

[root@docker01 ~]# echo  vm.max_map_count = 655360    /etc/sysctl.conf 
#更改其虛擬內(nèi)存
[root@docker01 ~]# sysctl -p # 刷新內(nèi)核參數(shù)
vm.max_map_count = 655360 # 若容器不能正常運(yùn)行，可適當(dāng)調(diào)大此參數(shù)值
[root@docker01 ~]# docker pull sebp/elk #elk 鏡像大小在 2G 以上，所以建議先下載到本地，再運(yùn)行容器
[root@docker01 ~]# docker run -itd -p 5601:5601 -p 9200:9200 -p 5044:5044 -e ES_HEAP_SIZE= 3g  -e LS_HEAP_SIZE= 1g  --name elk sebp/elk
#基于 sebp/elk 運(yùn)行 elk 容器
# “-e ES_HEAP_SIZE= 3g  ”：是限制 elasticsearch 所使用的內(nèi)存大小
# -e LS_HEAP_SIZE= 1g  ：限制 logstash 使用的內(nèi)存大小 

至此，即可通過(guò)瀏覽器訪問(wèn) docker 主機(jī)的 5601 端口訪問(wèn)到以下界面了（以下進(jìn)行的所有操作，看圖進(jìn)行即可，都已標(biāo)記在圖上了）：

當(dāng)看到以下頁(yè)面后（注意選擇 RPM 選項(xiàng)卡），根據(jù)下面的提示命令在我們的 docker 主機(jī)上執(zhí)行即可。

執(zhí)行以上頁(yè)面的提示命令操作，如下：

[root@docker01 ~]# curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.4.0-x86_64.rpm
#下載 rpm 包
[root@docker01 ~]# rpm -ivh filebeat-7.4.0-x86_64.rpm # 安裝下載的 rpm 包
[root@docker01 ~]# vim /etc/filebeat/filebeat.yml
======== Filebeat inputs ==========
filebeat.inputs: # 修改 filebeat.inputs 下面的內(nèi)容
 enabled: true # 改為 true，以便啟用 filebeat
 paths: # 修改 path 段落，添加要收集的日志路徑
 - /var/log/messages # 指定一下系統(tǒng)日志的文件路徑
 - /var/lib/docker/containers/*/*.log # 這個(gè)路徑是所有容器存放的日志路徑
========== Kibana =============
host:  192.168.20.6:5601  # 去掉此行注釋符號(hào)，并填寫(xiě) kibana 的監(jiān)聽(tīng)端口及地址
------------ Elasticsearch output ------------ 
 hosts: [192.168.20.6:9200] # 修改為 Elasticsearc 的監(jiān)聽(tīng)地址及端口
#修改完上述配置后，保存退出即可
[root@docker01 ~]# filebeat modules enable elasticsearch # 啟用 elasticsearch 模塊
[root@docker01 ~]# filebeat setup # 初始化 filebeat，等待時(shí)間稍長(zhǎng)
Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Loaded machine learning job configurations
Loaded Ingest pipelines
#出現(xiàn)上述信息，才是初始化成功
[root@docker01 ~]# service filebeat start # 啟動(dòng) filebeat

當(dāng)執(zhí)行完上述操作后，即可點(diǎn)擊下面的“Dicover”，進(jìn)行查看日志的操作了，如下：

若最近十五分鐘內(nèi)有新的日志，并且 docker 主機(jī)的時(shí)間也處于同步狀態(tài)，那么可以考慮執(zhí)行下面的命令，以便重啟 elk 這個(gè)容器再進(jìn)行查看。

[root@docker01 ~]# systemctl daemon-reload # 重新加載配置文件
[root@docker01 ~]# docker restart elk # 重啟 elk 容器 

當(dāng)可以正常訪問(wèn)到上面的頁(yè)面時(shí)，這時(shí)我們運(yùn)行一個(gè)容器，讓其每隔十秒鐘輸出一段字符，然后查看 kibana 是否可以采集到該容器相關(guān)的日志信息，如下：

[root@docker01 ~]# docker run busybox sh -c  while true;do echo  this is a log message from container busybox! sleep 10;done 
#運(yùn)行這個(gè)容器，每隔十秒輸出一段字符 

然后看下圖，依次操作，如下：

如果能夠看到相應(yīng)的日志信息，則說(shuō)明 elk 這個(gè)容器運(yùn)行正常。

關(guān)于“基于 Docker 容器如何部署 ELK 日志分析系統(tǒng)”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。