ELK收集docker中的日志

容器中的日志在哪？

 上图可以看到docker容器中组件的位置以及组件对应的日志位置。其中e0d336cc一串的字符串就是容器id。

 filebeat配置文件：

filebeat.inputs:
- type: docker
  containers.ids:
    - "e0d336cc9f7b1403ede7ac1008003558b270ed3ee7ce946ba4b03b9e3cf3c260"
  tags: ["access"]

output.elasticsearch:
  hosts: ["172.16.158.11:9203"]
  indices: 
    - index: "docker-%{+yyyy.MM.dd}"
      when.contains:
        tags: "access"

setup.kibana:
  host: "172.16.158.11:5601"


setup.ilm.enabled: false
setup.template:
  name: "docker"
  pattern: "docker-*"
setup.template.overwrite: true
setup.template.enabled: false

 

可以看到日志数据已经导入到了es中了，现在有一个问题，就是容器可能会重启，重启后，容器id就会发生改变，其次如果有多个容器，难道每一次都要去加上容器id么？

 

 filebeat的配置内容如下：

filebeat.inputs:
- type: docker
  containers:
    path: "/var/lib/docker/containers"
    stream: "stdout"
    ids:
      - "*"

output.elasticsearch:
  hosts: ["172.16.158.11:9203"]
  indices:
    - index: "docker-%{+yyyy.MM.dd}"

setup.kibana:
  host: "172.16.158.11:5601"


setup.ilm.enabled: false
setup.template:
  name: "docker"
  pattern: "docker-*"
setup.template.overwrite: true
setup.template.enabled: false

docker-compose给容器打标签，就可以将日志根据标签区分

 

请求的日志情况

根据标签将日志写到不同的索引当中