正如官方所說的那樣 https://www.elastic.co/guide/en/elasticsearch/reference/current/vm-max-map-count.html,Elasticsearch默認使用mmapfs目錄來存儲索引。操作系統默認的mmap計數太低可能導致內存不足,我們可以使用下面這條命令來增加內存
為了防止ElasticSearch啟動報錯,max file descriptors [65535] for elasticsearch process is too low, increase to at least [65536]
vi /etc/sysctl.conf?sysctl?-w vm.max_map_count=262144
?
添加配置
vm.max_map_count=655360
?
執行命令
sysctl -p
?
目錄結構
創建目錄
?
mkdir -p app/elk/elasticsearch/data/ app/elk/kibana/ app/elk/logstash/pipeline/
要授權給該目錄,否則elasticsearch無法啟動
chmod 777 app/elk/elasticsearch/data?
創建各個文件夾下的文件
?
touch app/elk/docker-compose.yml app/elk/elasticsearch/elasticsearch.yml app/elk/kibana/kibana.yml app/elk/logstash/pipeline/logstash.conf app/elk/logstash/logstash.yml?
把下列文件內容復制進去,不要落下
elasticsearch.yml---
## Default Elasticsearch configuration from Elasticsearch base image.
## https://github.com/elastic/elasticsearch/blob/master/distribution/docker/src/docker/config/elasticsearch.yml
#
cluster.name: "docker-cluster"
network.host: 0.0.0.0## X-Pack settings
## see https://www.elastic.co/guide/en/elasticsearch/reference/current/setup-xpack.html
#
xpack.license.self_generated.type: trial
xpack.security.enabled: true
xpack.monitoring.collection.enabled: true?
#kibana.yml
## Default Kibana configuration from Kibana base image.
### https://github.com/elastic/kibana/blob/master/src/dev/build/tasks/os_packages/docker_generator/templates/kibana_yml.template.js
server.name: kibana
server.host: 0.0.0.0
##漢化kibana?
i18n.locale: "zh-CN"
elasticsearch.hosts: [ "http://elasticsearch:9200" ]
xpack.monitoring.ui.container.elasticsearch.enabled: true
### X-Pack security credentials
elasticsearch.username: elastic
elasticsearch.password: changeme
logstash.conf
注意下:我配置的是多來源日志,不同的系統,訪問不同的TCP端口,如果只有一個來源的話,就刪除掉一個就行
input {tcp {type => "springboot1"mode => "server"host => "0.0.0.0"port => 5000codec => json_lines}tcp {type => "springboot2"mode => "server"host => "0.0.0.0"port => 5010codec => json_lines}
}
output {if [type] == "springboot1" {elasticsearch {hosts => "elasticsearch:9200"index => "springboot1-logstash-%{+YYYY.MM.dd}"user => elasticpassword => changeme}}else if [type] == "springboot2" {elasticsearch {hosts => "elasticsearch:9200"index => "springboot2-logstash-%{+YYYY.MM.dd}"user => elasticpassword => changeme}}
}
logstash.yml
## Default Logstash configuration from Logstash base image.
### https://github.com/elastic/logstash/blob/master/docker/data/logstash/config/logstash-full.yml
http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://elasticsearch:9200" ]
#elasticsearch 這里寫的是你的ip
## X-Pack security credentials
xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.username: elastic
xpack.monitoring.elasticsearch.password: changeme
docker-compose.yml
version: "3"
services:###配置elasticsearchelasticsearch:image: elasticsearch:7.2.0container_name: elasticsearch user: rootprivileged: trueports:- "9200:9200"- "9300:9300"environment:discovery.type: single-node##es的密碼ELASTIC_PASSWORD: changeme#設置JVM最大(小)可用內存為1024,這個很重要,我一開始沒有設置這個,我的es起不來ES_JAVA_OPTS: "-Xmx1024m -Xms1024m" ES_JAVA_OPTS: "-Xmx1g -Xms1g"volumes:# 這里注意一下 如果你想吧docker中es的數據 映射出來 你本地的 /home/elasticsearch 必須擁有 777權限- /app/elk/elasticsearch/data/:/usr/share/elasticsearch/data- /app/elk/elasticsearch/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml#network_mode: host###配置Logstashlogstash:image: logstash:7.2.0container_name: logstashports:- "5000:5000/tcp"- "5010:5010/tcp"- "5000:5000/udp"- "9600:9600"#network_mode: hostuser: rootprivileged: trueenvironment:discovery.type: single-nodeES_JAVA_OPTS: "-Xmx256m -Xms256m"volumes:###將本機目錄/opt/elk/logstach/pipeline下的文件映射到docker容器里面- /app/elk/logstash/pipeline:/usr/share/logstash/pipeline- /app/elk/logstash/logstash.yml:/usr/share/logstash/config/logstash.ymldepends_on:- elasticsearch ###配置Kibana 64位系統下內存約為1.4GB,32位系統下約為0.7GBkibana:image: kibana:7.2.0container_name: kibanauser: rootprivileged: trueports:- "5601:5601"volumes:###將本機目錄/opt/elk/kibana/kibana.yml下的文件映射到docker容器里面- /app/elk/kibana/kibana.yml:/usr/share/kibana/config/kibana.ymlenvironment:- ELASTICSEARCH_URL=http://elasticsearch:9200 #network_mode: hostdepends_on:- elasticsearch
通過docker-compose鏡像安裝啟動
下載慢的話最好配置下鏡像加速器 ,配置如下 登錄阿里云找到容器鏡像服務
cd /app/elk/
docker-compose up -d
Springboot 的logback.xml配置
1.maven安裝對應的包
<dependency><groupId>net.logstash.logback</groupId><artifactId>logstash-logback-encoder</artifactId><version>6.4</version>
</dependency>
2.配置logback.xml
<?xml version="1.0" encoding="UTF-8"?>
<configuration><include resource="org/springframework/boot/logging/logback/base.xml" /><appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender"><!--配置logStash 服務地址--><destination>192.168.10.128:5000</destination><!-- 日志輸出編碼 --><encoder charset="UTF-8"class="net.logstash.logback.encoder.LoggingEventCompositeJsonEncoder"><providers><timestamp><timeZone>UTC</timeZone></timestamp><pattern><pattern>{"logLevel": "%level","serviceName": "system-user","pid": "${PID:-}","thread": "%thread","class": "%logger{40}","message": "%message"}</pattern></pattern></providers></encoder></appender><root level="INFO"><appender-ref ref="LOGSTASH" /><appender-ref ref="CONSOLE" /></root>
</configuration>
?
如果是多來源的日志搜集,只要改下紅色框里的端口就行,剛才我配置的logstash.conf就是 兩個系統的 一個系統logback.xml 訪問5000端口,另一個系統訪問5010端口
運行起springboot 就能在kibana里看到索引
kibana訪問地址:http://192.168.10.128:5601/
賬號密碼 elastic changeme
在JAVA里打印了些日志
kibana里也有了
?
?
其他相關問題:
docker FATAL CLI ERROR Error: EACCES: permission denied, open '/usr/share/kibana/config/kibana.yml'
? ?問題原因及解決辦法
? ?原因是CentOS7中的安全模塊selinux把權限禁掉了,至少有以下三種方式解決掛載的目錄沒有權限的問題:
? ?1.在運行容器的時候,給容器加特權,及加上 --privileged=true 參數:
? ?docker run -i -t -v /soft:/soft --privileged=true 686672a1d0cc /bin/bash
? ?2.臨時關閉selinux:
? ?setenforce 0
? ?3.添加selinux規則,改變要掛載的目錄的安全性文本
使用的是docker版本的jenkins,運行后,出現如下錯誤:
[root@localhost CICD]# docker logs -f jenkins?
touch: cannot touch '/var/jenkins_home/copy_reference_file.log': Permission denied
Can not write to /var/jenkins_home/copy_reference_file.log. Wrong volume permissions?
?
我jenkins掛載的目錄是 /opt/jenkins/xxxxx,root 用戶創建,而 jenkins user的uid為1000
所以需要進行 chown 設置,如下:
sudo chown -R 1000:1000 /opt/jenkins
?
然后重啟容器,錯誤就沒有了。
?
?
docker原生支持眾多的日志引擎,適用于各種不同的應用場景,本篇文檔對其作一個簡單的說明。
Docker日志引擎說明
docker支持的日志引擎如下:
-
none:關閉docker的回顯日志, docker logs 看不到任何輸出。使用這種方式也就意味著無法查看任何容器輸出的日志
-
json-file:把每個容器的回顯日志打到每個容器的內部, 形式為json 文件。在實際使用中, 有些容器在啟動后有大量的回顯日志, 尤其在程序內部報錯時打出的日志信息尤其巨大, 很可能會因為某幾個容器的json 日志過大而撐爆整個宿主機的磁盤
-
syslog:把所有容器的回顯日志打到系統的syslog中。
目前harbor私有鏡像倉庫使用docker-compose方式啟動的話,就默認使用的這種方式。將所有容器的日志都集中收集到一個harbor-log的容器中,在執行docker logs的時候會提示
"logs" command is supported only for "json-file" and "journald" loggin drivers (got: syslog) -
journald:把所有容器的回顯日志打到系統的journald服務中,這是推薦的方式。
-
fluentd:把所有容器的回顯日志打到fluentd服務中
-
gelf 把所有容器的回顯日志打到支持 GELF(Graylog Extended Log Format) 格式的服務中, 比如Graylog或Logstash
修改docker日志引擎
- 修改docker配置文件/etc/docker/daemon.json如下:
{ "log-driver": "journald" } - 在容器運行時指定其日志引擎:
docker run --log-driver=journald alpint /bin/sh
journald配置說明
journald配置文件說明
?
-
# /etc/systemd/jornald.conf示例: - ?
-
[Journal] -
#Storage=auto 存儲為自動模式, 其他模式有無日志模式, 純內存模式和純磁盤模式 -
#Compress=yes 默認啟動壓縮功能 -
#Seal=yes 默認加密, 日志文件為二進制文件, 無法 vim或tail 查看 -
#SplitMode=uid -
#SyncIntervalSec=5m -
#RateLimitIntervalSec=30s -
#RateLimitBurst=1000 -
#SystemMaxUse= 精確設置日志可以占用的最大磁盤空間 -
#SystemKeepFree= 保證系統剩余的空間大小 -
#SystemMaxFileSize= -
#SystemMaxFiles=100 -
#RuntimeMaxUse= -
#RuntimeKeepFree= -
#RuntimeMaxFileSize= -
#RuntimeMaxFiles=100 -
#MaxRetentionSec= -
#MaxFileSec=1month -
#ForwardToSyslog=no -
#ForwardToKMsg=no -
#ForwardToConsole=no -
#ForwardToWall=yes -
#TTYPath=/dev/console -
#MaxLevelStore=debug -
#MaxLevelSyslog=debug -
#MaxLevelKMsg=notice -
#MaxLevelConsole=info -
#MaxLevelWall=emerg
journald 默認配置下, 默認日志最大限制為所在文件系統容量的 10%
默認配置下, journald 的日志存放在 /var/log/journal 下, 如果該目錄在根分區下, 且根分區空間大小為10G, 那么 journald 存放日志最大的大小為1G, 超出1G 后將刪除最早的日志
也可以精確指定占用的空間大小:
SystemMaxUse=50Mjournalctl基本用法
-
journalctl 從頭查看所有日志
-
journalctl -b 查看本次開機后的所有系統引導日志
-
journalctl -b -1 顯示上次開機后的系統引導日志, 以此類推
-
journalctl -f 類似于 tail -f或tailf
-
journalctl /usr/bin/dockerd 后加程序的絕對路徑,可以顯示該程序的所有日志信息
-
journalctl -xe systemd 啟動程序失敗時會提示你使用這個命令查看錯誤信息, 其中x 表示在日志輸出中增加一些解釋性的短文本, e表示立即跳轉至日志的尾部
journald注意事項
journald配置中,有兩個非常重要的優化項目:
?
-
ForwardToSyslog=yes -
ForwardToWall=yes
以上兩個參數默認都是 yes 意味著 journald 收集日志后還會轉發到 syslog 中
由此造成的影響是: journald 雖然可以乖乖的按照上面的配置進行日志的清理, 但是 syslog 卻不在 journald 的控制范圍之內
在日志量很大的情況下,syslog中的日志量也變得巨大,所以我們需要把上面兩個參數的值改為no
重啟journald服務:
systemctl restart systemd-journald.servicesudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{"registry-mirrors": ["https://ip0m9guf.mirror.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker
)
