对熟习ELK的技巧职员来说,ELK的搭建进程是相对照较繁琐。容器化搭建ELK 能够让庞杂的事件简略化.

架构简图如下:

docker宿主机操作

安装docker

[root@docker ~]# wget https://mirrors,不可逆JS加密随着互联网的快速发展，网站客户端（浏览器）IE（ff）运行的javaSCRIPT代码常常被别人轻易的拷贝，　为了保护程序员自己的劳动成果，因此程序员不得不对想办法保护自己源代码-------javascript加密.aliyun.com/docker-ce/linux/centos/docker-ce,Base64编码/解码是网络上最常见的用于传输8Bit字节码的编码方式之一，Base64就是一种基于64个可打印字符来表示二进制数据的方法。可查看RFC2045～RFC2049，上面有MIME的详细规范.repo -O /etc/yum.repos.d/docker- ce.repo
[root@docker ~]# yum install docker-ce -y 
[root@docker ~]# systemctl start docker
[root@docker ~]# systemctl enable docker

下载elk整合版镜像

[root@docker ~]# docker search elk |head -2
NAME DESCRIPTION
STARS OFFICIAL AUTOMATED
sebp/elk Collect, search and visualise log data with … 
934 [OK]
[root@docker ~]# docker pull sebp/elk

修改内核参数

[root@docker ~]# vim /etc/sysctl.conf
vm.max_map_count=262144
[root@docker ~]# sysctl -p 
假如不修正，运行容器时会报下图过错,所以须要提前修改

运行容器

运行容器的docker-host内存需要比拟大(我这里测试时为3G)
[root@docker ~]# docker run -p 5601:5601 -p 9200:9200 -p 5044:5044 -it --name elk sebp/elk

修改容器内的logstash配置文件

重启容器

[root@docker ~]# docker restart elk

运用服务器上操作

下载并装置filebeat

[root@filebeat ~]# wget
https://artifacts.elastic.co/downloads/beats/filebeat/filebea t-7.4,JSON格式化是一种轻量级的数据交换格式。它基于 ECMAScript (欧洲计算机协会制定的js规范)的一个子集，采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写，同时也易于机器解析和生成，并有效地提升网络传输效率.2-x86_64.rpm

[root@filebeat ~]# rpm -ivh filebeat-7.4.2-x86_64.rpm

修改filebeat配置文件

启动filebeat服务

[root@filebeat ~]# systemctl restart filebeat
[root@filebeat ~]# systemctl enable filebeat

测试

在利用服务器上操作发生日志

[root@filebeat ~]# yum install vsftpd -y
或
[root@filebeat ~]# echo 111111 >> /var/log/yum.log

而后通过阅读器拜访kibana