日志分析系统可以实时收集、分析、监控日志并报警,当然也可以非实时的分析日志。网友介绍说splunk是功能强大且用起来最省心的,但是要收费,免费版有每天M的限制,超过M的日志就没法处理了。ELK系统是最常见的,据说缺点是配置麻烦一些,比较重量级。graylog是开源免费的,配置上要比ELK系统简单。综上,本文尝试容器方式搭建一套graylog系统,不做实时收集日志和报警的配置,只完成非实时被动接收网站日志,分析日志各项指标的功能。拉取如下三个镜像dockerpullmongo:3dockerpulldocker.elastic.co/elasticsearch/elasticsearch-oss:6.8.10dockerpullgraylog/graylog:3.3不要急着按照网上的方法启动镜像,我开始docker启动elasticsearch,虽然显示启动成功,但过半分钟后偷偷退出,这导致graylog在浏览器打不开。最后通过查看容器启动时的日志,发现elasticsearch对于系统参数是有要求的,按如下修改。在/etc/sysctl.conf文件最后添加一行vm.max_map_count=vi/etc/security/limits.conf*-nofile修改完成后重启系统使变量生效。docker启动elasticsearch时要加上参数--ulimitnofile=:--ulimitnproc=:,确保容器内环境满足要求,否则容器偷偷退出,在dockerpa-a命令下会看见exit(78)或exit(1)的错误。查看容器启动报错最准确的方法是“dockerlogs-f容器ID”这个命令,我们不加--ulimit参数试试[root
bogon~]#dockerpsCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMES7e4ad9docker.elastic.co/elasticsearch/elasticsearch-oss:6.8.10/usr/local/bin/dock6secondsagoUp4seconds0.0.0.0:-/tcp,0.0.0.0:-/tcpelasticsearch用上面的CONTAINERID产看启动时的日志[rootbogon~]#dockerlogs-f7e4ad9最后会打印出[1]:maxfiledescriptors[]forelasticsearchprocessistoolow,increasetoatleast[][2]:maxnumberofthreads[]foruser[elasticsearch]istoolow,increasetoatleast[]...][o.e.n.Node][WG6mVz4]closed两行toolow的提示就是容器退出的原因。三个容器的启动命令如下dockerrun--namemongo-dmongo:3dockerrun--nameelasticsearch\-e