使用Docker快速部署ELK日志收集栈

本文件介绍了如何使用Docker来搭建ELK（Elasticsearch、Logstash、Kibana）日志收集和分析环境。ELK堆栈是日志管理的流行解决方案，允许用户收集、索引、搜索和可视化来自各种来源的日志数据。 在Docker环境下搭建ELK日志记录主要涉及以下步骤： 1. 创建网络：首先，通过`docker create network elknet`命令创建一个名为`elknet`的Docker网络，使得ELK组件能够相互通信。 2. 部署Elasticsearch：使用`docker run`命令启动Elasticsearch容器，命名为`elasticsearch`，连接到`elknet`网络，并设置别名`elasticsearch`。同时，将端口9200和9300映射到主机的相应端口，并通过环境变量`discovery.type=single-node`设置为单节点模式。使用的镜像是`elasticsearch:7.9.1`。 3. 启动Kibana：接着，运行Kibana容器，名为`kibana`，同样连接到`elknet`网络，设置别名`kibana`，并将5601端口映射到主机。使用的镜像是`kibana:7.9.1`。 4. 运行Logstash：启动Logstash容器，名为`logstash`，加入`elknet`网络，设置别名`logstash`，并映射5044端口。Logstash将接收来自其他服务的日志数据。 5. 配置Logstash：编辑Logstash的配置文件`/usr/share/logstash/pipeline/logstash.conf`，定义输入为TCP监听5044端口，输出则将数据发送到Elasticsearch的`elasticsearch:9200`端口，并设置索引为`apidemo`。同时，为了调试，将数据也输出到标准输出。 6. 配置日志源：在日志源应用中，例如Java应用，更新`log4j2.xml`配置文件，添加一个Socket Appender，将日志发送到Logstash的5044端口，使用TCP协议，日志格式按照指定的PatternLayout。 7. Kibana配置：在Kibana界面上，添加`apidemo`索引，然后可以查询和刷新以查看从日志源收集的数据。 通过以上步骤，一个基本的ELK日志记录环境已经在Docker中搭建完成。用户可以在Kibana中对收集的日志进行实时分析和可视化，帮助监控和排查系统问题。需要注意的是，实际环境中可能需要根据具体的应用和日志需求调整Logstash的输入和输出配置，以及Elasticsearch的索引管理和存储策略。