Docker部署ELK7.3.0日志收集服务最佳实践

写在最前面

本文仅包含ELK7.3.0部署！

部署环境：

ELK分布式集群部署方案

linux中elasticsearch用户拥有的内存权限太小，至少需要262144，报错信息（max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]），因此先修改系统配置。

# 修改配置sysctl.conf
vi /etc/sysctl.conf
# 添加下面配置：
vm.max_map_count=262144
# 重新加载：
sysctl -p
# 最后重新启动elasticsearch，即可启动成功。

环境均采用Docker部署，为了更方便的使用Docker命令，我们安装一下bash-completion自动补全插件：

# 安装依赖工具bash-complete
yum install -y bash-completion
ource /usr/share/bash-completion/completions/docker
source /usr/share/bash-completion/bash_completion

部署顺序：ES --> Kibana --> Logstash --> Filebeat

ElasticSearch7.3.0部署

主节点部署

创建配置文件和数据存放目录

mkdir -p {/mnt/es1/master/data,/mnt/es1/master/logs}
vim /mnt/es1/master/conf/es-master.yml

es-master.yml配置

# 集群名称
cluster.name: es-cluster
# 节点名称
node.name: es-master
# 是否可以成为master节点
node.master: true
# 是否允许该节点存储数据,默认开启
node.data: false
# 网络绑定
network.host: 0.0.0.0
# 设置对外服务的http端口
http.port: 9200
# 设置节点间交互的tcp端口
transport.port: 9300
# 集群发现
discovery.seed_hosts:
 - 172.17.0.2:9300
 - 172.17.0.3:9301
# 手动指定可以成为 mater 的所有节点的 name 或者 ip，这些配置将会在第一次选举中进行计算
cluster.initial_master_nodes:
 - 172.17.0.2
# 支持跨域访问
http.cors.enabled: true
http.cors.allow-origin: "*"
# 安全认证
xpack.security.enabled: false
#http.cors.allow-headers: "Authorization"
bootstrap.memory_lock: false
bootstrap.system_call_filter: false

#解决跨域问题
#http.cors.enabled: true
#http.cors.allow-origin: "*"
#http.cors.allow-methods: OPTIONS, HEAD, GET, POST, PUT, DELETE
#http.cors.allow-headers: "X-Requested-With, Content-Type, Content-Length, X-User"

pull镜像时会有些慢，耐心等待！

# 拉取镜像，可以直接构建容器，忽略此步
docker pull elasticsearch:7.3.0

# 构建容器
## 映射5601是为Kibana预留的端口
docker run -d -e ES_JAVA_OPTS="-Xms256m -Xmx256m" \
-p 9200:9200 -p 9300:9300 -p 5601:5601 \
-v /mnt/es1/master/conf/es-master.yml:/usr/share/elasticsearch/config/elasticsearch.yml \
-v /mnt/es1/master/data:/usr/share/elasticsearch/data \
-v /mnt/es1/master/logs:/usr/share/elasticsearch/logs \
-v /etc/localtime:/etc/localtime \
--name es-master elasticsearch:7.3.0

/etc/localtime:/etc/localtime：宿主机与容器时间同步。

从节点部署

创建配置文件和数据存放目录

mkdir -p {/mnt/es1/slave1/data,/mnt/es1/slave1/logs}
vim /mnt/es1/slave1/conf/es-slave1.yml

es-slave1.yml配置

# 集群名称
cluster.name: es-cluster
# 节点名称
node.name: es-slave1
# 是否可以成为master节点
node.master: true
# 是否允许该节点存储数据,默认开启
node.data: true
# 网络绑定
network.host: 0.0.0.0
# 设置对外服务的http端口
http.port: 9201
# 设置节点间交互的tcp端口
transport.port: 9301
# 集群发现
discovery.seed_hosts:
 - 172.17.0.2:9300
 - 172.17.0.3:9301
# 手动指定可以成为 mater 的所有节点的 name 或者 ip，这些配置将会在第一次选举中进行计算
cluster.initial_master_nodes:
 - 172.17.0.2
# 支持跨域访问
http.cors.enabled: true
http.cors.allow-origin: "*"
# 安全认证
xpack.security.enabled: false
#http.cors.allow-headers: "Authorization"
bootstrap.memory_lock: false
bootstrap.system_call_filter: false

pull镜像时会有些慢，耐心等待！

# 拉取镜像，可以直接构建容器，忽略此步
docker pull elasticsearch:7.3.0

# 构建容器
docker run -d -e ES_JAVA_OPTS="-Xms256m -Xmx256m" \
-p 9201:9200 -p 9301:9300 \
-v /mnt/es1/slave1/conf/es-slave1.yml:/usr/share/elasticsearch/config/elasticsearch.yml \
-v /mnt/es1/slave1/data:/usr/share/elasticsearch/data \
-v /mnt/es1/slave1/logs:/usr/share/elasticsearch/logs \
-v /etc/localtime:/etc/localtime \
--name es-slave1 elasticsearch:7.3.0

修改配置重启容器

# 查看主从容器IP
docker inspect es-master
docker inspect es-slave1

修改ES配置文件es-master.yml、es-slave1.yml中的discovery.seed_hosts、cluster.initial_master_nodes为对应的IP！重启容器：

docker restart es-master

docker restart es-slave1

# 查看es日志

docker logs -f --tail 100f es-master

访问http://IP:9200/_cat/nodes确认查看ES集群信息，可以看到有主从节点部署成功:

 节点部署常用API：

Kibana7.3.0部署

创建Kibana配置文件

vim /mnt/kibana.yml
#
## ** THIS IS AN AUTO-GENERATED FILE **
##
#
## Default Kibana configuration for docker target
server.name: kibana
#配置Kibana的远程访问
server.host: "0.0.0.0"
#配置es访问地址
elasticsearch.hosts: [ "http://127.0.0.1:9200" ]
#汉化界面
i18n.locale: "zh-CN"

#xpack.monitoring.ui.container.elasticsearch.enabled: true

查看es-master容器ID

docker ps|grep es-master

部署Kibana

注意将命令中的40eff5876ffd 修改成es-master容器ID，拉取镜像，情耐性等待！

# 拉取镜像，可以直接构建容器，忽略此步
docker pull docker.elastic.co/kibana/kibana:7.3.0

# 构建容器
## --network=container 表示共享容器网络
docker run -it -d \
-v /mnt/kibana.yml:/usr/share/kibana/config/kibana.yml \
-v /etc/localtime:/etc/localtime \
-e ELASTICSEARCH_URL=http://172.17.0.2:9200 \
--network=container:40eff5876ffd \
--name kibana docker.elastic.co/kibana/kibana:7.3.0

查看Kibana容器日志，看到如下图所示日志则表示启动成功

docker logs -f --tail 100f kibana

访问http://IP:5601，可能会出现503，等一会在访问就OK了。可以访问到Kibana控制台则表示Kibana已安装成功，并已于es-master建立连接。

Logstash7.3.1部署

编写Logstash配置文件

vim /mnt/logstash-filebeat.conf

input {
  # 来源beats
  beats {
    # 端口
    port => "5044"
  }
}
# 分析、过滤插件，可以多个
filter {
  grok {
	# grok 表达式存放的地方
	patterns_dir => "/grok"

	# grok 表达式重写
    # match => {"message" => "%{SYSLOGBASE} %{DATA:message}"}

	# 删除掉原生 message字段
	overwrite => ["message"]

  # 定义自己的格式
	match => {
		"message" => "%{URIPATH:request} %{IP:clientip} %{NUMBER:response:int} \"%{WORD:sources}\" (?:%{URI:referrer}|-) \[%{GREEDYDATA:agent}\] \{%{GREEDYDATA:params}\}"
	}
  }
 # 查询归类插件
 geoip {
    source => "message"
  }
}
output {
	# 选择elasticsearch
	elasticsearch {
		# es 集群
		hosts => ["http://172.17.0.2:9200"]
      #username => "root"
      #password => "123456"

		# 索引格式
		index => "omc-block-server-%{[@metadata][version]}-%{+YYYY.MM.dd}"

		# 设置为true表示如果你有一个自定义的模板叫logstash，那么将会用你自定义模板覆盖默认模板logstash
		template_overwrite => true
	}
}

 部署Logstash

# 拉取镜像，可以直接构建容器，忽略此步
docker pull logstash:7.3.1 

# 构建容器
# xpack.monitoring.enabled 打开X-Pack的安全和监视服务
# xpack.monitoring.elasticsearch.hosts 设置ES地址，172.17.0.2为es-master容器ip
# docker允许在容器启动时执行一些命令，logsatsh -f 表示通过指定配置文件运行logstash，/usr/share/logstash/config/logstash-sample.conf是容器内的目录文件

docker run -p 5044:5044 -d \
-v /mnt/logstash-filebeat.conf:/usr/share/logstash/config/logstash-sample.conf \
-v /etc/localtime:/etc/localtime \
-e elasticsearch.hosts=http://172.17.0.2:9200 \
-e xpack.monitoring.enabled=true \
-e xpack.monitoring.elasticsearch.hosts=http://172.17.0.2:9200 \
--name logstash logstash:7.3.1 -f /usr/share/logstash/config/logstash-sample.conf

这里需要注意es集群地址，这里我们只配置es-master的ip（172.17.0.2），详细Logstash配置。 查看到如下日志则表示安装成功：

Filebeat7.3.0部署

Filebeat 并不是一个必须的组件，通过Logstash我们同样也可以实现日志的搬运工作。

例如，实现将所有非“20”开头的日志进行合并，可以使用如下Logstash配置：

input {
  # 来源beats
  beats {
    # 端口
    port => "5044"
  }
  file {
    type => "server-log"
    path => "/logs/*.log"
    start_position => "beginning"
    codec=>multiline{
        // 正则表达式，所有“20”前缀日志, 如果你的日志是以“[2020-06-15”这类前缀则，可以替换成"^["
        pattern => "^20"
        // 是否对正则规则取反
        negate => true
        // previous 表示合并到上一行，next 表示合并到下一行
        what => "previous"
    }

  }
}

注意，Filebeat必须与应用部署在同一服务器，这里应用采用docker部署，/mnt/omc-dev/logs应用日志文件的映射目录，如果你也是通过docker进行服务部署，请记得通过【-v /mnt/omc-dev/logs:/应用工作/logs】日志文件映射出来哦！

创建Filebeat配置文件

## /mnt/omc-dev/logs 为应用日志目录，必须将应用的部署目录映射出来
mkdir -p {/mnt/omc-dev/logs,/mnt/filebeat/logs,/mnt/filebeat/data}
vim /mnt/filebeat/filebeat.yml

filebeat.inputs:
- type: log
 enabled: true
 paths:
  # 当前目录下的所有.log文件
  - /home/project/spring-boot-elasticsearch/logs/*.log
 multiline.pattern: '^20'
 multiline.negate: true
 multiline.match: previous

logging.level: debug

filebeat.config.modules:
 path: ${path.config}/modules.d/*.yml
 reload.enabled: false

setup.template.settings:
 index.number_of_shards: 1

setup.dashboards.enabled: false

setup.kibana:
 host: "http://172.17.0.2:5601"

# 不直接传输至ES
#output.elasticsearch:
# hosts: ["http://es-master:9200"]
# index: "filebeat-%{[beat.version]}-%{+yyyy.MM.dd}"

output.logstash:
 hosts: ["172.17.0.5:5044"]

#scan_frequency: 1s
close_inactive: 12h
backoff: 1s
max_backoff: 1s
backoff_factor: 1
flush.timeout: 1s

processors:
 - add_host_metadata: ~
 - add_cloud_metadata: ~

注意修改Logstash IP和端口。

# 拉取镜像，可以直接构建容器，忽略此步
docker pull docker.elastic.co/beats/filebeat:7.3.0

# 构建容器
## --link logstash 将指定容器连接到当前连接，可以设置别名，避免ip方式导致的容器重启动态改变的无法连接情况，logstash 为容器名
docker run -d -v /mnt/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml \
-v /mnt/omc-dev/logs:/home/project/spring-boot-elasticsearch/logs \
-v /mnt/filebeat/logs:/usr/share/filebeat/logs \
-v /mnt/filebeat/data:/usr/share/filebeat/data \
-v /etc/localtime:/etc/localtime \
--link logstash --name filebeat docker.elastic.co/beats/filebeat:7.3.0

查看日志，我们在配置文件中将Filebeat的日志级别配置成了debug，因此会开到所有收录到的信息

docker logs -f --tail 100f filebeat

可以看到，通过查询ES索引，多出了三条索引，通过我们配置的按天进行索引分割，因为我这个环境已经跑了三天了，所以存在三个omc服务的索引（omc 是一个定时任务的服务，你也可以写一个简单的定时任务来进行测试）。

接下来我们创建一个Kibana索引模式，并进行日志查询：

索引创建完成，到Discover视图就可以通过索引模式查询日志了。

文章到这里就结束了，如果你还有别的服务需要引入的话，只需要将日志挂载到指定目录就行了，当然如果服务是部署在其他服务器上，则需要在服务器上部署Filebeat，并且要保证服务器之间网络互通哦~~

最后，在这里推荐一个开源ELK自动化Docker部署项目：https://github.com/deviantony/docker-elk.git

--------------------------------------------------------

2020.6.28更新

最近发生了一起Logstash导致的物理内存暴涨问题。

简单阐述一下主要问题：

目前单服务单日日志量在2.2GB左右，由于早期没有限制Logstash内存，导致大量数据上来时，Logstash疯狂占用内存与IO。

随着近日，在同一服务器上面应用服务流量上涨，最终导致内存不足，出现OutOfMemoryError问题。

随后，通过设置优化JVM内存（具体我就不说了，网上一大把），并添加上Logstash响应内存配置，得以解决早前的遗留问题。

最后，将Logstash 添加到Kibana进行监控（当然你还可以将Logstash日志配置到ES上去）：

https://blog.csdn.net/QiaoRui_/article/details/97667293