安装docker

思路：使用 docker 安装 elasticsearch、kibana和filebeat，三个容器运行在同一个桥接网络中

拉取镜像

docker pull docker.elastic.co/elasticsearch/elasticsearch:7.14.1
docker pull docker.elastic.co/kibana/kibana:7.14.1
docker pull docker.elastic.co/beats/filebeat:7.14.1

# 如果拉取太慢可以用其他的镜像
docker pull elasticsearch:7.14.1
docker pull kibana:7.14.1
docker pull elastic/filebeat:7.14.1

启动Elasticsearch

es_net 的网络要提前创建，这里通过在run命令中指定环境变量的方式配置 es 为单机模式启动，下面的 kibana 也使用了环境变量来配置 es 的地址

docker run --rm -d --name es --network es_net -e "discovery.type=single-node" elasticsearch:7.14.1

启动Kibana

docker run -d --rm --name kibana --network es_net -e "ELASTICSEARCH_HOSTS=http://es:9200" -p 5601:5601 kibana:7.14.1

启动Filebeat

创建配置文件 filebeat.yml

#输入配置
filebeat.inputs:
        - type: log
          enabled: true
          paths:
          #需要收集的日志文件所在位置，可用通配符
          - /root/work/logs/*.log

output.elasticsearch:
        hosts: 'http://es:9200'

记住配置文件的所在路径，等下运行镜像的时候要用到

docker 命令运行 filebeat

docker run -d --rm --name filebeat --network es_net -v /root/work/logs/:/root/work/logs/ -v /root/work/beats/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml elastic/filebeat:7.14.1

测试

#cd 到被filebeat监控的目录，这里是 /root/work/logs,创建 test.log 文件，手动添加文本信息到 test.log 文件中
$ touch test.log
$ echo "123123123" > test.log
$ echo "hdsncakdhskfnds" > test.log

通过kibana查看所有索引，发现多了一个以 filebeat 开头的索引，这是 es 自动创建的索引

查询该索引的信息，发现 message 字段中有我们输入的信息