在分布式系统中，由于节点服务会部署多台，一旦出现线上问题需要通过日志分析定位问题就需要登录服务器一台一台进行日志检索，非常不便利，这时候就需要用到EFK日志收集工具。

在应用服务端部署Filebeat，将我们打印到日志文件中的日志发送到Logstash中，在经过Logstash的解析格式化后将日志发送到ElasticSearch中，最后通过Kibana展现出来。EFK基础版的架构如下：

安装elasticsearch之前先配置如下的系统变量

修改/etc/sysctl.conf，在最后追加如下配置

vm.max_map_count = 655360

修改/etc/security/limits.conf，增加如下配置

*                   soft    memlock          unlimited

*               hard    memlock          unlimited

*               hard    nofile           65536

*               soft    nofile           65536

修改/etc/security/limits.d/20-nproc.conf，增加如下配置

*          soft    nproc     4096

root       soft    nproc     unlimited

安装配置elasticsearch

elasticsearch:7.5.1

discovery.type           single-node

宿主机创建如下目录+文件:

mkdir -p /usr/local/src/elk/elasticsearch/conf/

cd /usr/local/src/elk/elasticsearch/conf/

chmod 777 /usr/local/src/elk/elasticsearch/conf/

touch elasticsearch.yml

修改elasticsearch.yml配置文件

cluster.name: "elk-cluster"

network.host: 0.0.0.0

bootstrap.memory_lock: true

discovery.type: single-node

建立es的日志文件夹和数据文件夹，并对文件夹授权

mkdir  -p /usr/local/src/elk/elasticsearch/logs

mkdir  -p /usr/local/src/elk/elasticsearch/data

chmod  -R 777 /usr/local/src/elk/elasticsearch/logs

chmod  -R 777 /usr/local/src/elk/elasticsearch/data

添加卷:

/usr/local/src/elk/elasticsearch/conf/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml

/usr/local/src/elk/elasticsearch/logs:/usr/share/elasticsearch/logs:rw

/usr/local/src/elk/elasticsearch/data:/usr/share/elasticsearch/data:rw

安装配置logstash

logstash:7.5.1

宿主机创建如下目录:

mkdir  -p /usr/local/src/elk/logstash/config

chmod  -R 777 /usr/local/src/elk/logstash/config

cd /usr/local/src/elk/logstash/config

导出logstash的配置文件到宿主机

docker cp 05c68f9e51c5:/usr/share/logstash/config /usr/local/src/elk/logstash

建立logstash数据文件夹，并对其授权

mkdir -p /usr/local/src/elk/logstash/data

chmod -R 777 /usr/local/src/elk/logstash/data

复制logstash启动文件，并对其修改

cd /usr/local/src/elk/logstash/config

cp logstash-sample.conf logstash.conf

修改logstash.conf，配置output

# Sample Logstash configuration for creating a simple

# Beats -> Logstash -> Elasticsearch pipeline.

input {

beats {

port => 5044

}

}

output {

elasticsearch {

hosts => ["http://172.31.0.207:9200"]

index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"

#user => "elastic"

#password => "changeme"

}

}

添加卷

/usr/local/src/elk/logstash/config:/usr/share/logstash/config

/usr/local/src/elk/logstash/data:/usr/share/logstash/data

logstash -f /usr/share/logstash/config/logstash.conf

安装配置kibana

宿主机创建如下目录+文件:

mkdir  -p /usr/local/src/elk/kibana/conf/

cd /usr/local/src/elk/kibana/conf/

chmod -R 777 /usr/local/src/elk/kibana/conf/

touch kibana.xml

修改kibana配置

server.name: kibana

server.host: "0"

elasticsearch.hosts: [ "http://172.31.0.207:9200" ]

xpack.monitoring.ui.container.elasticsearch.enabled: true

i18n.locale: zh-CN

设置i18n.locale: zh-CN属性后会对kibana进行汉化，这样便于操作，主要还是我英语不太好~

添加卷

/usr/local/src/elk/kibana/conf/kibana.xml:/usr/share/kibana/config/kibana.yml

启动完成后等一段时间访问kibana地址http://172.31.0.207:5601/验证是否正常访问

日志集成

在EFK基础架构中，我们需要在客户端部署Filebeat，通过Filebeat将日志收集并传到LogStash中。在LogStash中对日志进行解析后再将日志传输到ElasticSearch中，最后通过Kibana查看日志。

宿主机创建目录:

mkdir -p /usr/local/src/elk/

cd /usr/local/src/elk/

安装配置filebeat

• 下载filebeat7.5.1            https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.5.1-linux-x86_64.tar.gz
• 将下载后的文件上传至服务器并解压
  tar -zxvf filebeat-7.5.1-linux-x86_64.tar.gz
• 修改filebeat.yml

rancher上部署的docker容器，日志位置在/var/lib/docker/containers/containerID/目录下的*-json.log文件里，因此需要收集这个文件的内容。

filebeat.inputs:

- type: log

enabled: true

paths:

- /var/lib/docker/containers/*/*json.log

此段配置日志输入，指定日志存储路径

output.logstash:

# The Logstash hosts

hosts: ["192.168.71.198:5044"]

此段配置日志输出，指定Logstash存储路径

启动filebeat
./filebeat -e -c filebeat.yml
如果需要静默启动，则使用nohup ./filebeat -e -c filebeat.yml & 命令启动即可

Kibana操作

索引模式告诉Kibana如何访问你的数据。