Filebeat 已經(jīng)完全替代了 Logstash-Forwarder 成為新一代的日志采集器，因?yàn)樗虞p量、安全。基于 Filebeat + ELK 的部署方案架構(gòu)圖如下： 

  軟件版本：

服務(wù) 版本 說明 CentOS 7.6 Docker 18.09.5 Docker Compose 1.25.0 ELK 7.5.1 Filebeat 7.5.1

version: '3'services: es-master: container_name: es-master hostname: es-master image: elasticsearch:7.5.1 restart: always ports: - 9200:9200 - 9300:9300 volumes: - ./elasticsearch/master/conf/es-master.yml:/usr/share/elasticsearch/config/elasticsearch.yml - ./elasticsearch/master/data:/usr/share/elasticsearch/data - ./elasticsearch/master/logs:/usr/share/elasticsearch/logs environment: - 'ES_JAVA_OPTS=-Xms512m -Xmx512m' es-slave1: container_name: es-slave1 image: elasticsearch:7.5.1 restart: always ports: - 9201:9200 - 9301:9300 volumes: - ./elasticsearch/slave1/conf/es-slave1.yml:/usr/share/elasticsearch/config/elasticsearch.yml - ./elasticsearch/slave1/data:/usr/share/elasticsearch/data - ./elasticsearch/slave1/logs:/usr/share/elasticsearch/logs environment: - 'ES_JAVA_OPTS=-Xms512m -Xmx512m' es-slave2: container_name: es-slave2 image: elasticsearch:7.5.1 restart: always ports: - 9202:9200 - 9302:9300 volumes: - ./elasticsearch/slave2/conf/es-slave2.yml:/usr/share/elasticsearch/config/elasticsearch.yml - ./elasticsearch/slave2/data:/usr/share/elasticsearch/data - ./elasticsearch/slave2/logs:/usr/share/elasticsearch/logs environment: - 'ES_JAVA_OPTS=-Xms512m -Xmx512m' kibana: container_name: kibana hostname: kibana image: kibana:7.5.1 restart: always ports: - 5601:5601 volumes: - ./kibana/conf/kibana.yml:/usr/share/kibana/config/kibana.yml environment: - elasticsearch.hosts=http://es-master:9200 depends_on: - es-master - es-slave1 - es-slave2 # filebeat: # # 容器名稱 # container_name: filebeat # # 主機(jī)名稱 # hostname: filebeat # # 鏡像 # image: docker.elastic.co/beats/filebeat:7.5.1 # # 重啟機(jī)制 # restart: always # # 持久化掛載 # volumes: # - ./filebeat/conf/filebeat.yml:/usr/share/filebeat/filebeat.yml # # 映射到容器中[作為數(shù)據(jù)源] # - ./logs:/home/project/spring-boot-elasticsearch/logs # - ./filebeat/logs:/usr/share/filebeat/logs # - ./filebeat/data:/usr/share/filebeat/data # # 將指定容器連接到當(dāng)前連接，可以設(shè)置別名，避免ip方式導(dǎo)致的容器重啟動(dòng)態(tài)改變的無法連接情況 # links: # - logstash # # 依賴服務(wù)[可無] # depends_on: # - es-master # - es-slave1 # - es-slave2 logstash: container_name: logstash hostname: logstash image: logstash:7.5.1 command: logstash -f ./conf/logstash-filebeat.conf restart: always volumes: # 映射到容器中 - ./logstash/conf/logstash-filebeat.conf:/usr/share/logstash/conf/logstash-filebeat.conf - ./logstash/ssl:/usr/share/logstash/ssl environment: - elasticsearch.hosts=http://es-master:9200 # 解決logstash監(jiān)控連接報(bào)錯(cuò) - xpack.monitoring.elasticsearch.hosts=http://es-master:9200 ports: - 5044:5044 depends_on: - es-master - es-slave1 - es-slave2

  這里把 Filebeat 給注釋掉了，打算在各個(gè)需要搜集日志的服務(wù)器上面單獨(dú)部署 Filebeat。

記得把 Elasticsearch 的 data 和 logs 設(shè)置 chmod 777

es-master.yml

# 集群名稱cluster.name: es-cluster# 節(jié)點(diǎn)名稱node.name: es-master# 是否可以成為master節(jié)點(diǎn)node.master: true# 是否允許該節(jié)點(diǎn)存儲(chǔ)數(shù)據(jù),默認(rèn)開啟node.data: false# 網(wǎng)絡(luò)綁定network.host: 0.0.0.0# 設(shè)置對外服務(wù)的http端口http.port: 9200# 設(shè)置節(jié)點(diǎn)間交互的tcp端口transport.port: 9300# 集群發(fā)現(xiàn)discovery.seed_hosts: - es-master - es-slave1 - es-slave2# 手動(dòng)指定可以成為 mater 的所有節(jié)點(diǎn)的 name 或者 ip，這些配置將會(huì)在第一次選舉中進(jìn)行計(jì)算cluster.initial_master_nodes: - es-master# 支持跨域訪問http.cors.enabled: truehttp.cors.allow-origin: '*'# 安全認(rèn)證xpack.security.enabled: false#http.cors.allow-headers: 'Authorization'

es-slave1.yml

# 集群名稱cluster.name: es-cluster# 節(jié)點(diǎn)名稱node.name: es-slave1# 是否可以成為master節(jié)點(diǎn)node.master: true# 是否允許該節(jié)點(diǎn)存儲(chǔ)數(shù)據(jù),默認(rèn)開啟node.data: true# 網(wǎng)絡(luò)綁定network.host: 0.0.0.0# 設(shè)置對外服務(wù)的http端口http.port: 9201# 設(shè)置節(jié)點(diǎn)間交互的tcp端口#transport.port: 9301# 集群發(fā)現(xiàn)discovery.seed_hosts: - es-master - es-slave1 - es-slave2# 手動(dòng)指定可以成為 mater 的所有節(jié)點(diǎn)的 name 或者 ip，這些配置將會(huì)在第一次選舉中進(jìn)行計(jì)算cluster.initial_master_nodes: - es-master# 支持跨域訪問http.cors.enabled: truehttp.cors.allow-origin: '*'# 安全認(rèn)證xpack.security.enabled: false#http.cors.allow-headers: 'Authorization'

es-slave2.yml

# 集群名稱cluster.name: es-cluster# 節(jié)點(diǎn)名稱node.name: es-slave2# 是否可以成為master節(jié)點(diǎn)node.master: true# 是否允許該節(jié)點(diǎn)存儲(chǔ)數(shù)據(jù),默認(rèn)開啟node.data: true# 網(wǎng)絡(luò)綁定network.host: 0.0.0.0# 設(shè)置對外服務(wù)的http端口http.port: 9202# 設(shè)置節(jié)點(diǎn)間交互的tcp端口#transport.port: 9302# 集群發(fā)現(xiàn)discovery.seed_hosts: - es-master - es-slave1 - es-slave2# 手動(dòng)指定可以成為 mater 的所有節(jié)點(diǎn)的 name 或者 ip，這些配置將會(huì)在第一次選舉中進(jìn)行計(jì)算cluster.initial_master_nodes: - es-master# 支持跨域訪問http.cors.enabled: truehttp.cors.allow-origin: '*'# 安全認(rèn)證xpack.security.enabled: false#http.cors.allow-headers: 'Authorization'

logstash-filebeat.conf

input { # 來源beats beats { # 端口 port => '5044' ssl_certificate_authorities => ['/usr/share/logstash/ssl/ca.crt'] ssl_certificate => '/usr/share/logstash/ssl/server.crt' ssl_key => '/usr/share/logstash/ssl/server.key' ssl_verify_mode => 'force_peer' }}# 分析、過濾插件，可以多個(gè)filter { grok { match => { 'message' => '%{COMBINEDAPACHELOG}'} } geoip { source => 'clientip' }}output { # 選擇elasticsearch elasticsearch { hosts => ['http://es-master:9200'] index => '%{[fields][service]}-%{[@metadata][version]}-%{+YYYY.MM.dd}' }}

filebeat.yml

filebeat.inputs: - type: log enabled: true paths: # 當(dāng)前目錄下的所有.log文件 - /root/tmp/logs/*.log fields: service: 'our31-java' multiline.pattern: ^[ multiline.negate: true multiline.match: after - type: log enabled: true paths: # 當(dāng)前目錄下的所有.log文件 - /root/tmp/log/*.log fields: service: 'our31-nginx'filebeat.config.modules: path: ${path.config}/modules.d/*.yml reload.enabled: false# setup.template.settings:# index.number_of_shards: 1# setup.dashboards.enabled: false# setup.kibana:# host: 'http://localhost:5601'# 不直接傳輸至ES#output.elasticsearch:# hosts: ['http://es-master:9200']# index: 'filebeat-%{[beat.version]}-%{+yyyy.MM.dd}'setup.ilm.enabled: falseoutput.logstash: hosts: ['logstash.server.com:5044'] # Optional SSL. By default is off. # List of root certificates for HTTPS server verifications ssl.certificate_authorities: './ssl/ca.crt' # Certificate for SSL client authentication ssl.certificate: './ssl/client.crt' # Client Certificate Key ssl.key: './ssl/client.key'# processors:# - add_host_metadata: ~# - add_cloud_metadata: ~

注意

生成證書，配置 SSL，讓 Filebeat 與 Logstash 之間建立 SSL。

#生成ca私鑰openssl genrsa 2048 > ca.key #使用ca私鑰建立ca證書openssl req -new -x509 -nodes -key ca.key -subj /CN=elkCA CA/OU=Development group/O=HomeIT SIA/DC=elk/DC=com > ca.crt #生成服務(wù)器csr證書請求文件openssl req -newkey rsa:2048 -nodes -keyout server.key -subj /CN=logstash.server.com/OU=Development group/O=Home SIA/DC=elk/DC=com > server.csr #使用ca證書與私鑰簽發(fā)服務(wù)器證書openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 > server.crt #生成客戶端csr證書請求文件openssl req -newkey rsa:2048 -nodes -keyout client.key -subj /CN=filebeat.client.com/OU=Development group/O=Home SIA/DC=elk/DC=com > client.csr #使用ca證書與私鑰簽發(fā)客戶端證書openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 > client.crt

  證書記得放到對應(yīng)的文件夾中。

Filebeat 中 output.logstash.hosts 配置的域名要與證書相符。

根據(jù)不同服務(wù)器、不同服務(wù)、不同日期動(dòng)態(tài)生成索引

  上面的這張圖片中，加上了一些自定義屬性，這些屬性會(huì)傳遞到 Logstash 中，Logstash 會(huì)拿到這些屬性動(dòng)態(tài)的向 Elasticsearch 中創(chuàng)建索引，如下圖：

詳細(xì)介紹看官方文檔，metadata，動(dòng)態(tài)索引生成。

  這里本來想使用 indices 來動(dòng)態(tài)生成索引，但是根據(jù)官方配置，并沒有成功，哪位兄弟知道可以告知下為什么。

利用 Nginx Http Basic Authorization 讓 Kibana 需要登錄

  先使用工具 htpasswd 生成用戶信息

$ yum -y install httpd-tools

  創(chuàng)建新密碼文件

  追加用戶信息：

  最后配置好 Nginx 即可：

server { ...... auth_basic 'Kibana Auth'; auth_basic_user_file /usr/local/nginx/pwd/kibana/passwd; ......}

單獨(dú)啟動(dòng) Filebeat 的方式

$ nohup ./filebeat 2>&1 &啟動(dòng) Docker Compose

  在 docker-compose.yml 所在目錄執(zhí)行：

$ docker-compose up --build -d

到此這篇關(guān)于Docker Compose一鍵ELK部署的方法實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Docker Compose ELK部署內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！