2023年7月17日发(作者：)

⽤elk+filebeat监控容器⽇志elk 为 elasticsearch（查询搜索引擎）,logstash（对⽇志进⾏分析和过滤，然后转发给elasticsearch）,kibana(⼀个web图形界⾯⽤于可视化elasticsearch数据)缩写1.安装docker环境2. 准备镜像拉取 elk镜像，我们⽤sebp/elkdocker pull sebp/elk,3. 启动容器docker run -p 5601:5601 -p 9200:9200 -p 5044:5044 -it --name elk sebp/elk -d-p 端⼝映射，5601为kibana 使⽤，9200为elasticsearch使⽤，5044为logstash使⽤-d 守护进程运⾏容器在浏览器输⼊hostip:5601正常情况下会显⽰界⾯，但是没有⽇志，因为还没有收集⽇志信息,我们要做的是将docker的⽇志导⼊elk.4.安装filebeat我们知道docker 会将容器⽇志记录到 /var/lib/docker/containers/id/只要将此⽂件发给elk就可以实现⽇志管理，elk提供了⼀个配套⼯具filebeat,转发⽇志和监控⽇志⽂件rpm -ivh filebeat-6.1.1-x86_修改配置⽂件cd /etc/filebeatvim ble 改为 truepaths:改为- /var/lib/docker/container/*/*.log- /var/log/syslog 启动filebeat,systemctl start filebeat进⼊ELK容器,修改cd /etc/logstash/conf.d/vim 下三⾏删除掉，意思是否使⽤证书，本例是不使⽤证书的，如果你需要使⽤证书，将拷贝到客户端，然后在⾥⾯添加路径即可 ssl => true

ssl_certificate => "/pki/tls/certs/" ssl_key => "/pki/tls/private/"注意：sebp/elk docker是⾃建⽴了⼀个证书，默认使⽤*通配配符，如果你使⽤证书，使⽤的服务器地址必须使⽤域名，不能使⽤IP地址，否则会报错，这个坑是我踩后得出来的⼼得，说见官⽹⽂档说明即可5.这时我们启动容器，就可以在kibana看到有新的⽇志输出。在此，我们只是对elk的部分功能进⾏了说明。