Ubuntu环境下Filebeat在容器中的部署方法
确保Ubuntu主机已安装Docker Engine(版本≥18.03),若未安装可通过以下命令快速部署:
sudo apt-get update
sudo apt-get install -y docker.io docker-compose
sudo systemctl enable --now docker
从Elastic官方仓库拉取最新稳定版Filebeat镜像(以7.17.8为例):
docker pull docker.elastic.co/beats/filebeat:7.17.8
Filebeat需访问宿主机的容器日志目录(/var/lib/docker/containers)和自定义配置文件(filebeat.yml),通过-v参数挂载:
docker run -d \
--name=filebeat \
--user=root \ # 需root权限读取日志文件
--volume="/var/lib/docker/containers:/var/lib/docker/containers:ro" \ # 挂载Docker容器日志目录
--volume="/etc/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro" \ # 挂载配置文件
--volume="/etc/localtime:/etc/localtime:ro" \ # 同步宿主机时区
docker.elastic.co/beats/filebeat:7.17.8
配置文件需定义日志输入源(Docker容器日志)、输出目标(如Elasticsearch)及处理器(可选)。示例如下:
filebeat.inputs:
- type: docker # 输入类型为Docker容器日志
containers.ids:
- "*" # 监控所有容器
paths:
- /var/lib/docker/containers/*/*.log # Docker日志默认路径
json.keys_under_root: true # 将JSON日志的键提升至根层级
json.add_error_key: true # 添加错误键便于调试
processors:
- add_docker_metadata: ~ # 自动添加容器元数据(如容器ID、名称、镜像)
output.elasticsearch:
hosts: ["http://localhost:9200"] # Elasticsearch地址(若在容器外需替换为宿主机IP)
username: "elastic" # 认证用户名(默认elastic)
password: "your_password" # 认证密码(需提前设置)
docker ps -a | grep filebeat
Up,说明启动成功。docker logs -f filebeat
Successfully connected to Elasticsearch,说明已成功连接输出目标。curl -XGET 'http://localhost:9200/_cat/indices?v'
docker-compose.yml文件,简化多容器部署:version: '3'
services:
filebeat:
image: docker.elastic.co/beats/filebeat:7.17.8
user: root
volumes:
- /var/lib/docker/containers:/var/lib/docker/containers:ro
- /etc/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro
- /etc/localtime:/etc/localtime:ro
command: ["--strict.perms=false"] # 解决权限问题(若宿主机日志目录权限严格)
docker-compose up -d。filebeat.inputs中添加scan_frequency(扫描间隔)和exclude_lines(排除无用行)等参数。filebeat modules enable命令启用Nginx、MySQL等模块,快速解析结构化日志。/var/lib/docker/containers)对root用户可读,避免因权限不足导致无法收集日志。7.17.8而非latest),并通过docker-compose管理多容器依赖,提升部署稳定性。