利用 ELK 搭建 Docker 容器化应用日志中心

---

概述

应用一旦容器化以后，需要考虑的就是如何采集位于 Docker 容器中的应用程序的打印日志供运维分析。典型的比如 SpringBoot 应用的日志 收集。本文即将阐述如何利用 ELK 日志中心来收集容器化应用程序所产生的日志，并且可以用可视化的方式对日志进行查询与分析，其架构如下图所示：

---

镜像准备

• ElasticSearch 镜像
• Logstash 镜像
• Kibana 镜像
• Nginx 镜像（作为容器化应用来生产日志）

---

开启 Linux 系统 Rsyslog 服务

修改 Rsyslog 服务配置文件：

vim /etc/rsyslog.conf 

开启下面三个参数：

$ModLoad imtcp $InputTCPServerRun 514 *.* @@localhost:4560 

意图很简单：让 Rsyslog 加载 imtcp 模块并监听 514 端口，然后将 Rsyslog 中收集的数据转发到本地 4560 端口！

然后重启 Rsyslog 服务：

systemctl restart rsyslog 

查看 rsyslog 启动状态：

netstat -tnl 

---

部署 ElasticSearch 服务

docker run -d -p 9200:9200 \ -v ~/elasticsearch/data:/usr/share/elasticsearch/data \ --name elasticsearch elasticsearch 

---

部署 Logstash 服务

添加 ~/logstash/logstash.conf 配置文件如下：

input { syslog { type => "rsyslog" port => 4560 } } output { elasticsearch { hosts => [ "elasticsearch:9200" ] } } 

配置中我们让 Logstash 从本地的 Rsyslog 服务中取出应用日志数据，然后转发到 ElasticSearch 数据库中！

配置完成以后，可以通过如下命令来启动 Logstash 容器：

docker run -d -p 4560:4560 \ -v ~/logstash/logstash.conf:/etc/logstash.conf \ --link elasticsearch:elasticsearch \ --name logstash logstash \ logstash -f /etc/logstash.conf 

---

部署 Kibana 服务

docker run -d -p 5601:5601 \ --link elasticsearch:elasticsearch \ -e ELASTICSEARCH_URL=http://elasticsearch:9200 \ --name kibana kibana 

---

启动 nginx 容器来生产日志

docker run -d -p 90:80 --log-driver syslog --log-opt \ syslog-address=tcp://localhost:514 \ --log-opt tag="nginx" --name nginx nginx 

很明显 Docker 容器中的 Nginx 应用日志转发到本地 syslog 服务中，然后由 syslog 服务将数据转给 Logstash 进行收集。

至此，日志中心搭建完毕，目前一共四个容器在工作：

实验验证

• 浏览器打开localhost:90来打开 Nginx 界面，并刷新几次，让后台产生 GET 请求的日志

• 打开 Kibana 可视化界面：localhost:5601

• 收集 Nginx 应用日志

• 查询应用日志

在查询框中输入program=nginx可查询出特定日志

---

后记

• CentOS7 上 ElasticSearch 安装填坑记

• ElasticSearch 搜索引擎在 SpringBoot 中的实践

• 作者更多的原创文章在 V 站作者主页

---