基于Docker快速搭建ELK

本文基于自建的Docker平台速搭建一套完整的ELK系统，相关的镜像直接从Docker Hub上获取，可以快速实现日志的采集和分析检索。

启动Elasticsearch

官方镜像里面ES的配置文件保存在·/usr/share/elasticsearch/config·，如果有需要可以将该目录映射到宿主机上；数据文件目录·/usr/share/elasticsearch/data·，这里我们把数据目录映射出来；容器默认对外提供9200端口，用作API交互。

docker run --name elasticsearch \
-v "$PWD/esdata":/usr/share/elasticsearch/data \
-p 9200:9200 \
-d elasticsearch

容器启动以后可以调用一把验证一下:

http://ip:9200

看到这个界面，表示ES启动成功

启动Kibana

Kibana作为ES操作的UI，需要跟ES容器通信，所以这里要将ES的容器link一下，对外提供5601端口做页面交互。

docker run --name kibana \
--link elasticsearch:elasticsearch \
-p 5601:5601 \
-d kibana

容器启动后用浏览器访问5601端口，可以看到kibana页面，首次访问的时候可能会提示没有建立默认索引，这里需要在管理页面上创建一个默认索引。默认索引通常叫做logstash-*，如下图所示创建一个默认索引。

启动Logstash

Logstash主要作用是收集日志，这个组件有很多插件，可以支持大部分日志集成方式，如tcp、udp、jdbc、文件、队列等，他的配置非常简单，启动方式也很简单，这里以nginx的访问日志为例，我们配置logstash读取nginx的access.log，然后把日志转发到Elasticsearch

首先编译一个logstash配置文件logstash.conf，内容如下：

input{

      file{

            path=>"/tmp/nginx/logs/access.log"

      }

}output{

      stdout{     } #日志输出到控制台

      #输出到es

      elasticsearch{

            hosts=>"100.100.x.231"

      }

}

启动容器，这里我们把nginx的日志放在/tmp/nginx/logs/access.log，为了让容器能读到这个日志，需要把日志目录映射到容器里面。

docker run –it –rm  -v /tmp/nginx/logs/access.log:/tmp/nginx/logs/access.log -f /config-dir/logstash.conf logstash

接下来我们可以全流程测试一下日志收集展示的过程。首先在nginx里面造点访问日志，比如直接curl调nginx服务端口，或者直接往access.log里面写数据也行。这时候再logstash容器我们可以看到如下日志输出

接下来，我们在基于最新的稳定版建立一个日志分析系统
使用zookeper+kafka+elk+Filebeat实现大量日志分析