¶ Быстрый старт
¶ Вариант 1: Использование основного файла
Для запуска нужно создать файлы конфигов, у меня это выглядит так и все volume's я смонтировал именно по этим директориям:
logstash.yml
http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://elasticsearch:9200" ]
logstash.conf
input {
beats {
port => 5044
}
tcp {
port => 5000
codec => json
}
udp {
port => 5000
codec => json
}
}
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
}
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}
output {
elasticsearch {
hosts => ["elasticsearch:9200"]
index => "logstash-%{+YYYY.MM.dd}"
}
stdout { codec => rubydebug }
}
docker-compose.yml:
version: '3.8'
services:
elasticsearch:
image: elasticsearch:8.11.0
container_name: elasticsearch
environment:
- discovery.type=single-node
- xpack.security.enabled=false
- "ES_JAVA_OPTS=-Xms512m -Xmx512m"
ulimits:
memlock:
soft: -1
hard: -1
volumes:
- elasticsearch_data:/usr/share/elasticsearch/data
ports:
- "9200:9200"
- "9300:9300"
networks:
- elk
logstash:
image: logstash:8.11.0
container_name: logstash
environment:
LS_JAVA_OPTS: "-Xmx256m -Xms256m"
volumes:
- ./logstash/config/logstash.yml:/usr/share/logstash/config/logstash.yml:ro
- ./logstash/pipeline:/usr/share/logstash/pipeline:ro
ports:
- "5044:5044"
- "5000:5000/tcp"
- "5000:5000/udp"
- "9600:9600"
networks:
- elk
depends_on:
- elasticsearch
kibana:
image: kibana:8.11.0
container_name: kibana
environment:
ELASTICSEARCH_HOSTS: http://elasticsearch:9200
ports:
- "5601:5601"
networks:
- elk
depends_on:
- elasticsearch
volumes:
elasticsearch_data:
driver: local
networks:
elk:
driver: bridge
Запуск очевидно:
docker-compose up -d
Тут стоит написать небольшой дисклеймер, если ты находишься в России, то этот вариант на этапе Pull пошлет тебя нахер и выведет ошибку forbiden 403. Поэтому лучше поднимать все через второй вариант.
¶ Вариант 2: Использование альтернативного файла (если есть проблемы с доступом к образам)
Нужно также создать файлы конфигов как и в первом варианте
docker-compose -f docker-compose-alternative.yml up -d
docker-compose-alternative:yml
services:
elasticsearch:
image: elasticsearch:7.17.0
container_name: elasticsearch
environment:
- discovery.type=single-node
- xpack.security.enabled=false
- "ES_JAVA_OPTS=-Xms512m -Xmx512m"
ulimits:
memlock:
soft: -1
hard: -1
volumes:
- elasticsearch_data:/usr/share/elasticsearch/data
ports:
- "9200:9200"
- "9300:9300"
networks:
- elk
logstash:
image: logstash:7.17.0
container_name: logstash
environment:
LS_JAVA_OPTS: "-Xmx256m -Xms256m"
volumes:
- ./logstash/config/logstash.yml:/usr/share/logstash/config/logstash.yml:ro
- ./logstash/pipeline:/usr/share/logstash/pipeline:ro
ports:
- "5044:5044"
- "5000:5000/tcp"
- "5000:5000/udp"
- "9600:9600"
networks:
- elk
depends_on:
- elasticsearch
kibana:
image: kibana:7.17.0
container_name: kibana
environment:
ELASTICSEARCH_HOSTS: http://elasticsearch:9200
ports:
- "5601:5601"
networks:
- elk
depends_on:
- elasticsearch
volumes:
elasticsearch_data:
driver: local
networks:
elk:
driver: bridge
¶ Порты
- Elasticsearch: 9200 (HTTP), 9300 (Transport)
- Logstash: 5044 (Beats), 5000 (TCP/UDP), 9600 (HTTP)
- Kibana: 5601 (Web UI)
¶ Доступ к сервисам
- Kibana: http://localhost:5601
- Elasticsearch: http://localhost:9200
¶ Проверка статуса
docker-compose ps
docker-compose logs -f
curl http://localhost:9200
¶ Остановка
docker-compose down
¶ Очистка данных
docker-compose down -v