集群日志汇聚平台elk+filebeat部署（简单实用，两步搞定）

介绍：
1.用docker起elk（elasticsearch+logstash+kibana三合一）
2.集群使用daemonset方式将filebeat配置到每个node节点

开始

一、部署elk

下载elk镜像，我这里用的是sebp/elk:latest三合一镜像，没有可以去阿里云镜像库下载

运行

docker run -p 5601:5601 -p 9200:9200 -p 5044:5044 -itd --name elk sebp/elk

5601：kibana端口
5044：logstash端口
9200：elasticsearch端口，也可以加上9300
启动后登录本机ip：9200，看到如下页面表示成功

但是这里有个问题：这个镜像logstash默认配置是SSL连接，需要改

vi 02-beats-input.conf

把SSL那行改为false，或者直接把那三行删掉，我们不用证书

然后重启logstash

service logstash restart

搞定，退出容器。

二、部署filebeat

下载官网filebeat的kubelet yaml文件

curl -L -O https://raw.githubusercontent.com/elastic/beats/7.5/deploy/kubernetes/filebeat-kubernetes.yaml

修改文件

根据官网默认配置，filebreat是将日志发送到elasticsearch，我们这里需要把它改成logstash，修改成如下：

运行，看下效果

kubectl create -f filebeat-kubernetes.yaml

完成，下面我们检测一下。

到kibana添加filebeat索引，就可以看到集群日志了。