ส่งบันทึกไปยังคอนเทนเนอร์ ELK จากคอนเทนเนอร์ Docker (ไม่มี Filebeat)

การใช้ filebeat ในแต่ละคอนเทนเนอร์ขัดต่อปรัชญาของ Docker จะทำให้เปลืองทรัพยากรและมีค่าใช้จ่ายในการบริหารจัดการมากขึ้น

คุณสามารถใช้ไฟล์บันทึกในเครื่องผ่านทาง logstash

การกำหนดค่าตัวอย่าง:

input {
  file {
    path => "/var/log/apache.log"
    type => "apache-access"  # a type to identify those logs (will need this later)
    start_position => "beginning"
  }
}

ตอนนี้เราต้องสร้างไฟล์บันทึกในเครื่องไปที่ logstash คอนเทนเนอร์:

หากคุณใช้ bind mounts คุณสามารถเมานต์ไดเร็กทอรีเดียวกันในคอนเทนเนอร์ logstash

sudo docker run -d -v /path/to/logs/:/path/to/logs/in/container logstash

หากคุณใช้ volumes คุณสามารถเมานต์วอลุ่มเดียวกันที่มีบันทึกเพื่อ logstash ได้เช่นกัน

sudo docker run -d -v logvol:/path/to/logs/in/container logstash

SEBP/ELK เป็นเครื่องมือที่ไม่ถูกต้องในการแก้ไขปัญหานี้ แต่ฉันควรใช้โปรเจ็กต์ที่หมุนคอนเทนเนอร์สำหรับแต่ละองค์ประกอบของสแต็ก ELK: Elasticsearch, Logstash และ Kibana ฉันพบพื้นที่เก็บข้อมูลดังกล่าวบน GitHub

โปรเจ็กต์ deviantony/docker-elk จะรวมองค์ประกอบ ELK 3 รายการไว้ในชุดคอนเทนเนอร์ที่ใช้งานได้ สิ่งที่ยอดเยี่ยมเกี่ยวกับเรื่องนี้ก็คือ ไม่เหมือนกับโปรเจ็กต์ SEBP/ELK ตรงที่ deviantony/docker-elk ไม่ได้มีความคิดเห็นแบบมีความคิดเห็นเกี่ยวกับฟีเจอร์ที่ควรมีให้ใช้งานและสิ่งที่ควรปิด ในโปรเจ็กต์ SEBP/ELK ความสามารถในการเขียนไปยังพอร์ต 5000 จะถูกลบออก และเมื่อคุณพยายามเพิ่มกลับผ่านไฟล์ logstash.conf แบบกำหนดเอง ตัวฟัง UDP จะล้มเหลวในท้ายที่สุด ในทางกลับกัน โครงการ deviantony/docker-elk ก็ใช้งานได้

คะแนนโบนัส: โปรเจ็กต์นี้ยังมีสาขาที่มี X-Pack ซึ่งเพิ่มระดับการรักษาความปลอดภัยขั้นต่ำสุดทันที