docker安装elk之分开部署问题（五）

elk涉及到的软件可以分别放到不同的服务器 然后通过ip和端口 进行连接。
1 我第一次是把firebeat、logstash放到本地 logstash配置数据传到远程服务器elasticsearch,一次成功
只需要修改logstash配置就行
2 当我准备把kibana也放到本地 e只把e放到远程 起初按教程配置不成功 后来把本地版本和服务器版本一致也能成功
3 当我准备把f放到本地 l和e放到远程 此时f就连不上l了 按照网上配置一直连不上 不知道为啥
难道f和l必须放一起 我想应该不会 一般应该也是多f 一套e l k ,一个地方放一个f,把数据采集
再试下
4、网上看了很多，发现配置就那一点，没有错。想看日志，发现本地直接安装没有docker安装看日志方便 。准备本地docker安装，结果一直权限问题。算了我还是直接先放弃本地docker安装吧。最后还是在filebeat执行日志中找到问题

发现是连接不上 我就看下远程端口是否开启 竟然没有开启。我忽然明白 原来开启了容器中的端口，服务器端口没有开启，要做个映射。我就把之前logstash容器删了 重新开启容器

docker run -it -d --name logstash -p 5044:5044 -p 9600:9600 -v ~/elk/yaml/logstash.conf:/usr/share/logstash/pipeline/logstash.conf docker.elastic.co/logstash/logstash:7.16.2-amd64
指定端口映射 这样远程就能访问了
5、把容器加入到之前的elk网络 这步不要忘，我就忘了
6、这样本地放filebeat 连接远程logstash elasticsearch 日志就有了 原来远程容器连接 一定要映射端口，不然远程的容器是连接不上的。
7、我又有个疑问 filebeat可以不通过logstash直接输出到elasticsearch 9200远程端口一直能访问 为什么我filebeat直接输出到9200 不能输出日志呢，我再试下，把filebeat配置仔修改下

只能一个输出 输出elssticsearch 就注释logstash 只能一个输出

结果没搜集到日志 不知又哪里错了 这次我直接就决定从日志中找原因 我的filebeat执行日志是直接命令行输出的 太乱太多 不好找 慢慢找 结果也没找到问题，我还是先跟直接跟本地elasticsearch连接试试
结果ok.查看索引突然发现多了个索引
恍然大悟 直接传elasticsearch 索引名称就不是log-*这类的 是filebeat默认的。我去log-当然看不到…
服务器找了下filebeat- 找到了日志。
4个文件完全可以放到不同服务器 通过服务器ip+port进行通信

标签：elk,filebeat,远程,分开,本地,docker,logstash,日志
来源： https://blog.csdn.net/zhangshaofeng222/article/details/122366654