一、ELK知识了解

1-ELK组件

工作原理：
（1）在所有需要收集日志的服务器上部署Logstash；或者先将日志进行集中化管理在日志服务器上，在日志服务器上部署 Logstash。
（2）Logstash 收集日志，将日志格式化并输出到 Elasticsearch 群集中。
（3）Elasticsearch 对格式化后的数据进行索引和存储。
（4）Kibana 从 ES 群集中查询数据生成图表，并进行前端数据的展示。

2- ELK部署 

1、环境

(1) 操作系统版本：

 (2) docker版本( docker安装 --参考-http://t.csdnimg.cn/wiQTu）

(3) 本次ELK三个组件选择官网最新8.7.1版本

2.创建一个ELK容器通信专用网络 

3.创建ELK目录，方便容器启动后目录挂载 

4. 拉取配置文件

5.重新启动容器并挂载目录 

插曲：

期间出现下面问题，删除容器docker 重装不成功，之后把容器删除，重新挂载，后再次启动容器反复尝试。 

docker: Error response from daemon: failed to create task for container: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: error during container init: error mounting "/etc/elasticsearch/config/elasticsearch.yml" to rootfs at "/usr/share/elasticsearch/config/elasticsearch.yml": stat /etc/elasticsearch/config/elasticsearch.yml: not a directory: unknown: Are you trying to mount a directory onto a file (or vice-versa)? Check if the specified host path exists and is the expected type.

查询解决方案：

 没办法，只能重新安装下docker 版本再从头来。

6.验证elasticsearch是否正常启动