成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

使用ELK處理Docker日志(一)

singerye / 2806人閱讀

摘要:編者的話產(chǎn)品經(jīng)理為了紀念四歲生日,撰寫一系列文章,介紹如何使用收集和處理環(huán)境日志。在將日志發(fā)送到的上下文中,使用日志驅(qū)動可能是最簡單的方法。如果使用或日志記錄驅(qū)動程序,則需要將定義為輸入。

[編者的話] Daniel Berman ( Logz.io 產(chǎn)品經(jīng)理)為了紀念 Docker 四歲生日,撰寫一系列文章,介紹如何使用 ELK 收集和處理 Dockerized 環(huán)境日志。小數(shù)今天給大家?guī)淼牡谝徊糠謱⒔榻B如何安裝各個組件以及不同日志收集方案的特點,下一部分將側(cè)重于分析和可視化,近期發(fā)出,記得關(guān)注我們噢~

PS :數(shù)人云工程師們已奔赴奧斯汀 DockerCON2017 現(xiàn)場,更多最佳實踐后天為您奉上!

容器運行程序時產(chǎn)生的日志具有“無常,分布,隔離”等特點,因此在架構(gòu)中收集 Docker 日志面臨很大的挑戰(zhàn),有待嘗試一種強有力的日志收集和處理方案來解決此類復(fù)雜問題。

ELK ( Elasticsearch , Logstash 和 Kibana )是處理容器日志的一種方式,盡管設(shè)置 ELK 工作流并不容易(難度取決于環(huán)境規(guī)格),但最終可以使用 Kibana 的監(jiān)控面板來展示 Docker 日志:

.

為了紀念 Docker 四歲生日,我們將撰寫一系列文章,介紹如何使用 ELK 收集和處理 Dockerized 環(huán)境日志。第一部分將介紹如何安裝各個組件以及不同日志收集方案的特點,并建立從容器中收集日志的工作流,下一部分將側(cè)重于分析和可視化。

日志收集的流程

Dockerized 環(huán)境中的典型 ELK 日志收集流程如下所示:

Logstash 負責(zé)從各種 Docker 容器和主機中提取日志,這個流程的主要優(yōu)點是可以更好地用過濾器來解析日志, Logstash 將日志轉(zhuǎn)發(fā)到 Elasticsearch 進行索引, Kibana 分析和可視化數(shù)據(jù)。

當然這個流程可以有多種不同的實現(xiàn)方式, 例如可以使用不同的日志收集和轉(zhuǎn)發(fā)組件, 如 Fluentd 或 Filebeat 將日志發(fā)送到 Elasticsearch ,或者,添加一個由 Kafka 或 Redis 容器組成的中間層,作為 Logstash 和 Elasticsearch 之間的緩沖區(qū)。上圖顯示了日志從 Docker 到 ELK 的基本流程。

那么,如何設(shè)置這個流程呢?

組件安裝

可以將 ELK 套件安裝在一個容器里,也可以使用不同的容器來分別安裝各個組件。

關(guān)于在 Docker 上部署 ELK 是否是生產(chǎn)環(huán)境的可行性解決方案(資源消耗和網(wǎng)絡(luò)是主要問題)仍然存在很多爭議,但在開發(fā)中這是一種非常方便高效的方案。

ELK 的 docker 鏡像推薦使用 docker-elk, 它支持豐富的運行參數(shù)(可使用這些參數(shù)組合不同的版本)和文檔, 而且完全支持最新版本的 Elasticsearch, Logstash, 和 Kibana.

在安裝組件之前需要確保以下端口沒有被占用:5601 (Kibana), 9200 (Elasticsearch), and 5044 (Logstash).

同時需要確保內(nèi)核參數(shù) vm_max_map_count 至少設(shè)置為 262144:

sudo sysctl -w vm.max_map_count=262144

To run the stack:

運行如下命令:

git clone https://github.com/deviantony/docker-elk.git
cd docker-elk
docker-compose up

正常情況下, ELK 套件的三個服務(wù)(Elasticsearch, Logstash, Kibana)會啟動成功,默認持久化數(shù)據(jù)目錄 /var/lib/elasticsearch (Elasticsearch 的數(shù)據(jù)存儲目錄)

sudo docker ps

CONTAINER ID        IMAGE                     COMMAND                  CREATED             STATUS              PORTS                                            NAMES

73aedc3939ad        dockerelk_kibana          "/bin/sh -c /usr/l..."   7 minutes ago       Up 6 minutes        0.0.0.0:5601->5601/tcp                           dockerelk_kibana_1

b684045be3d6        dockerelk_logstash        "logstash -f /usr/..."   7 minutes ago       Up 6 minutes        0.0.0.0:5000->5000/tcp                           dockerelk_logstash_1

a5778b8e4e6a        dockerelk_elasticsearch   "/bin/bash bin/es-..."   7 minutes ago       Up 7 minutes        0.0.0.0:9200->9200/tcp, 0.0.0.0:9300->9300/tcp   dockerelk_elasticsearch_1
測試安裝組件

可通過如下的方式來確保所有組件都能正常運行。

首先嘗試訪問 Elasticsearch 運行如下命令:

curl localhost:9200

輸出結(jié)果:

{
 "name" : "W3NuLnv",
 "cluster_name" : "docker-cluster",
 "cluster_uuid" : "fauVIbHoSE2SlN_nDzxxdA",
 "version" : {
   "number" : "5.2.1",
   "build_hash" : "db0d481",
   "build_date" : "2017-02-09T22:05:32.386Z",
   "build_snapshot" : false,
   "lucene_version" : "6.4.1"
 },
 "tagline" : "You Know, for Search"
}

打開 Kibaba 頁面通過 http://[serverIP]:5601:

值得注意的是需要輸入索引模式才能正常進行后續(xù)處理,這個稍后將會介紹。

發(fā)送 Docker 日志到 ELK

安裝組件比較簡單,相比而言將 Docker 日志發(fā)送到 ELK 有點復(fù)雜,這取決于輸出日志的方式。

如果沒有額外指定,容器的 stdout 和 stderr 輸出(也稱為“ docker logs ”)輸出到 JSON 文件。所以,如果是一個小型 Docker 環(huán)境,使用 Filebeat 來收集日志將是不錯的選擇。但如果使用其他日志記錄驅(qū)動程序,則可能需要考慮其他方法。

以下是將日志導(dǎo)入 ELK 的三種不同的方法,切記,這并不能包含所有的方案。

使用 Filebeat

Filebeat 屬于 Elastic 的 Beats 系列日志收集組件, Filebeat 是用 Go 語言開發(fā)的,支持追蹤特定文件和日志加密的中間組件,它可以配置將日志導(dǎo)出到 Logstash 或者直接導(dǎo)出到 Elasticsearch.

如上所述,若使用默認的 json 文件記錄驅(qū)動程序, Filebeat 是一種相對簡便的方式,可以輸出日志到 ELK.Filebeat 部署在主機上,或?qū)⑵渥鳛槿萜髋c ELK 容器一起運行(在這種情況下,需要添加到 ELK 容器的鏈接),這里有各種Filebeat Docker images可用,有些包括運行 Filebeat 并將其連接到 Logstash 的配置。

Filebeat 配置將需要指定 JSON 日志文件的路徑(位于:/ var / lib / docker / containers / ...)和目標的詳細信息(通常是 Logstash 容器)。

下面是一個配置的例子

prospectors:     
 - paths:        
   - /var/log/containers/          
   document_type: syslog     
output:
 logstash:  
  enabled: true  
  hosts:   
      - elk:5044
使用日志驅(qū)動

Docker 從 1.12 開始支持Logging Driver,允許將 Docker 日志路由到指定的第三方日志轉(zhuǎn)發(fā)層,可將日志轉(zhuǎn)發(fā)到 AWS CloudWatch , Fluentd , GELF 或 NAT 服務(wù)器。

使用 logging drivers 比較簡單,它們需要為每個容器指定,并且將需要在日志的接收端進行其他配置。

在將日志發(fā)送到 ELK 的上下文中,使用 syslog 日志驅(qū)動可能是最簡單的方法。

下面是一個指定 Logging Driver 的例子:

docker run 
 --log-driver=syslog 
 --log-opt syslog-address=tcp://:5000
  --log-opt syslog-facility=daemon
  alpine ash

如此這樣運行每一個容器,結(jié)果是將 Docker 容器日志流輸出到 syslog 實例,這些日志將轉(zhuǎn)發(fā)到 Logstash 容器進行解析和數(shù)據(jù)增強,進入 Elasticsearch 。

使用 Logspout

Logspout 是 Docker 流行和輕量級的( 15.2MB )日志路由器,它將附加到主機中的所有容器,并將 Docker 日志流輸出到 syslog 服務(wù)器(除非定義了不同的輸出目標)。

sudo docker run -d --name="logspout" --volume=/var/run/docker.sock:/var/run/docker.sock gliderlabs/logspout syslog+tls://:5000

使用Logstash module直接將日志路由到 Logstash 容器,但這需要其他配置和編譯工作。

Logz.io 的日志采集器

本人在 In this blog post這篇文章中介紹了 Logz.io 的日志采集器,像 Logspout 一樣,它附加在 Docker 主機中的所有容器上,但它不僅運送 Docker 日志,還包含 Docker 統(tǒng)計信息和 Docker 守護程序事件。

docker run -d --restart=always -v /var/run/docker.sock:/var/run/docker.sock logzio/logzio-docker -t 

目前它是為 Logz.io ELK 套件的用戶設(shè)計的,我們正在努力將它開源項目。

數(shù)據(jù)持久化

配置 Logstash 來解析數(shù)據(jù)至關(guān)重要,因為這部分過程將添加上下文到容器的日志中,并能夠更輕松地分析數(shù)據(jù)。

在 Logstash 配置文件中需要配置三個主要部分:輸入,過濾和輸出。 (若運行的是 Logstash 5.x ,則該文件位于:/ usr / share / logstash / pipeline )

輸入取決于日志傳送方式,使用 Filebeat ,則需要指定 Beats 輸入插件。如果使用 logspout 或 syslog 日志記錄驅(qū)動程序,則需要將 syslog 定義為輸入。

過濾器部分包含用于分解日志消息的所有過濾器插件,依賴于正在記錄的容器類型以及該特定容器生成的日志消息。

這部分的配置沒有捷徑,因為每個容器都輸出不同類型的日志。有很多嘗試和錯誤涉及,但是有一些在線工具可參考, 比如:Grok Debugger。

導(dǎo)出部分將指定 Logstash 輸出,例子中是 Elasticsearch 容器。

以下是通過 syslog 發(fā)送的 Docker 日志的基本 Logstash 配置示例。注意一系列過濾器的使用( grok , date , mutate 和 if 條件):

input {
 syslog {
      port => 5000
      type => "docker"
      }
}

filter {
      grok {
            match => { "message" => "%{SYSLOG5424PRI}%{NONNEGINT:ver} +(?:%{TIMESTAMP_ISO8601:ts}|-) +(?:%{HOSTNAME:service}|-) +(?:%{NOTSPACE:containerName}|-) +(?:%{NOTSPACE:proc}|-) +(?:%{WORD:msgid}|-) +(?:%{SYSLOG5424SD:sd}|-|) +%{GREEDYDATA:msg}" }
      }
      syslog_pri { }
      date {
            match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
      }
      mutate {
            remove_field => [ "message", "priority", "ts", "severity", "facility", "facility_label", "severity_label", "syslog5424_pri", "proc", "syslog_severity_code", "syslog_facility_code", "syslog_facility", "syslog_severity", "syslog_hostname", "syslog_message", "syslog_timestamp", "ver" ]
      }
      mutate {
            remove_tag => [ "_grokparsefailure_sysloginput" ]
      }
      mutate {
            gsub => [
                  "service", "[0123456789-]", ""
            ]
      }
      if [msg] =~ "^ *{" {
            json {
                  source => "msg"
            }
            if "_jsonparsefailure" in [tags] {
                  drop {}
            }
            mutate {
                  remove_field => [ "msg" ]
            }
      }
}

output {
 elasticsearch {
      hosts => "elasticsearch:9200"
      }
}

重新啟動 Logstash 容器以應(yīng)用新的配置。檢查 Elasticsearch 索引,確保日志流能正常工作:

curl "localhost:9200/_cat/indices?v"

具有 Logstash 模式的索引:

health status index               uuid                   pri rep docs.count docs.deleted store.size pri.store.size

yellow open   logstash-2017.03.05 kgJ0P6jmQjOLNTSmnxsZWQ   5   1          3            0     10.1kb         10.1kb

yellow open   .kibana             09NHQ-TnQQmRBnVE2Y93Kw   1   1          1            0      3.2kb          3.2kb

打開 Kibana 的頁面

Kibana 已經(jīng)創(chuàng)建了"logstash- *" 索引是標識,按下“創(chuàng)建”按鈕,可在 Kibana 中看到日志。

結(jié)語

Docker 日志記錄沒有完美的方案,無論選擇什么解決方案,使用日志記錄驅(qū)動程序, Filebeat 還是 SaaS 監(jiān)控平臺,每個方案都有優(yōu)缺點。

值得一提的是, Docker 日志很有用,但它們只代表由 Docker 主機生成的數(shù)據(jù)的一個維度,檢索容器統(tǒng)計信息和守護程序事件等還需要額外的日志記錄層。

綜上所述, Logz.io 日志收集器提供了一個全面的日志解決方案,將三個數(shù)據(jù)流一起拉到 ELK 中。如需統(tǒng)計數(shù)據(jù),建議嘗試一下 Dockerbeat.

本系列的下一部分將重點介紹如何在 Kibana 中分析和可視化 Docker 日志。

Docker 生日快樂!

Daniel Berman 是 Logz.io 產(chǎn)品經(jīng)理。擅長日志分析、大數(shù)據(jù)、云計算,熱愛家庭,喜歡跑步,Liverpool FC 和寫顛覆性的技術(shù)內(nèi)容。

原文鏈接: https://logz.io/blog/docker-l...

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/26851.html

相關(guān)文章

  • 使用ELK處理Docker日志(二)

    摘要:環(huán)境要求由,和容器組成使用日志收集器將日志發(fā)送到。若使用自己的部署,分析和可視化日志的概念保持不變。日志可視化以索引數(shù)據(jù)為基礎(chǔ)創(chuàng)建豐富的可視化和儀表板的能力而聞名,事實上,得到這些數(shù)據(jù)并不容易。 昨天小數(shù)分享的使用ELK處理Docker日志(一)很受歡迎,今天迫不及待的帶來第二篇,側(cè)重于分析和可視化,期待給您帶來幫助:) 噓,聽說數(shù)人云工程師們在奧斯汀DockerCON2017買了D...

    LiveVideoStack 評論0 收藏0
  • 使用Docker快速部署ELK分析Nginx日志實踐

    摘要:數(shù)據(jù)導(dǎo)入與校驗容器運行之后,筆者需要驗證是否啟動成功,可以通過瀏覽器訪問和的頁面是否成功來判斷。的整體操作流程比較簡單,首先是收集各種日志并進行過濾,然后將過濾后的內(nèi)容發(fā)送到服務(wù)中,最后用戶通過的頁面查看中的日志數(shù)據(jù)作者湯青松微信日期 一、背景 筆者所在項目組的項目由多個子項目所組成,每一個子項目都存在一定的日志,有時候想排查一些問題,需要到各個地方去查看,極為不方便,此前聽說有ELK...

    el09xccxy 評論0 收藏0
  • 使用Docker快速部署ELK分析Nginx日志實踐

    摘要:數(shù)據(jù)導(dǎo)入與校驗容器運行之后,筆者需要驗證是否啟動成功,可以通過瀏覽器訪問和的頁面是否成功來判斷。的整體操作流程比較簡單,首先是收集各種日志并進行過濾,然后將過濾后的內(nèi)容發(fā)送到服務(wù)中,最后用戶通過的頁面查看中的日志數(shù)據(jù)作者湯青松微信日期 一、背景 筆者所在項目組的項目由多個子項目所組成,每一個子項目都存在一定的日志,有時候想排查一些問題,需要到各個地方去查看,極為不方便,此前聽說有ELK...

    chenatu 評論0 收藏0
  • 使用Docker快速部署ELK分析Nginx日志實踐

    摘要:數(shù)據(jù)導(dǎo)入與校驗容器運行之后,筆者需要驗證是否啟動成功,可以通過瀏覽器訪問和的頁面是否成功來判斷。的整體操作流程比較簡單,首先是收集各種日志并進行過濾,然后將過濾后的內(nèi)容發(fā)送到服務(wù)中,最后用戶通過的頁面查看中的日志數(shù)據(jù)作者湯青松微信日期 一、背景 筆者所在項目組的項目由多個子項目所組成,每一個子項目都存在一定的日志,有時候想排查一些問題,需要到各個地方去查看,極為不方便,此前聽說有ELK...

    xumenger 評論0 收藏0
  • 如何在 Rancher 中統(tǒng)管理容器日志

    摘要:在中默認開啟端口用于偵聽發(fā)送過來的日志報文。至此,在中如何部署一套完整系統(tǒng)已經(jīng)介紹完了,下面我將介紹如何將容器日志發(fā)送到中。下面我將介紹如何收集容器日志。目前日志顯的雜亂無序。,現(xiàn)在我們再去查看發(fā)現(xiàn)我們的容器日志已經(jīng)展示在這里了。 相信大家對于容器和 docker 這個概念并不陌生,很高興的是 docker 為我們提供了多種log-driver。 showImg(https://se...

    whinc 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<