2023年7月17日发(作者：)

使⽤Docker部署ELK最快捷的⽅案说明:本例采⽤Filebeat直接往ElasticSearch发送⽇志的⽅案,省去了logstash,简单快捷架构图:1 .安装ES选⼀台机器执⾏命令:docker pull /elasticsearch/elasticsearch:6.4.2运⾏容器之前先设置服务器的_map_cout参数;执⾏命令:sysctl -w _map_count=262144然后启动容器:docker run --name elasticsearch -p 9200:9200 -p 9300:9300 -d -e "=single-node" /elasticsearch/elasticsearch:6.4.22.安装配置Kibana另选⼀台机器，执⾏命令：docker pull /kibana/kibana:6.4.2然后在该机器root⽬录新建⽂件---# Default Kibana configuration from : : "0"# 这⾥es安装在105这台机器，所以地址配这个: 192.168.60.105:d: true然后启动kibana容器：docker run -v /root/:/usr/share/kibana/config/ -d --name kibana -p 5601:5601 kibana:6.4.27.6.2版本部署的时候报错:Error: [config validation of [elasticsearch].url]: definition for this key is missing需要把配置改成:: ["192.168.60.105:9200"]启动的时候还可以报错:resource_already_exists_exception参考

3、安装配置Filebeat在产⽣⽇志的每台服务器上都需要安装Filebeat执⾏命令：docker pull /beats/filebeat:6.4.2注意：因为⽇志存放在宿主机，Filebeat要读取宿主机的⽇志，所以这⾥必须采⽤配置⽂件挂载⽅式启动Filebeat在root⽬录新建⽂件:- type: log enabled: true# 下⾯的的xxx代表不同微服务产⽣的⽇志，具体以⾃⼰项⽬为准，如有多个微服务，按照如下格式继续添加即可 paths: - /usr/share/filebeat/xxx-logs/xxx/logs/*.log - /usr/share/filebeat/xxx-logs/xxx/logs/*.log

# 配置⽇志输出到哪⾥，这⾥ES安装在105这台机⼦，以105为例csearch:

hosts: ["192.168.60.105:9200"]#以下配置可以不配#: #host: 192.168.60.105:5601 启动容器： docker run --name filebeat -d -v /root/:/usr/share/filebeat/ -v /home/xxx-logs/:/usr/share/filebeat/xxx-logs /beats/filebeat:6.4.2上⾯的命令，第⼆个参数-v 表⽰将docker容器中的挂载到宿主机root⽬录下的第三个参数 -v 表⽰将⽣产⽇志的⽬录挂载到宿舍机，这⾥宿主机尝试⽇志的⽬录是/home/xxx-logs/最后访问kibana：⾸次访问，先设置索引

以下这⾥填filebeat-* 创建好索引之后，在点击左边Discover则可以看到当前产⽣的⽇志，亦可以按关键字搜索⽇志了