1. 概述

　　ELK = Elasticsearch + Logstash + Kibana

　　Elasticsearch是實時全文搜索和分析引擎，提供搜集、分析、存儲數(shù)據(jù)三大功能；是一套開放REST和JAVA API等結構提供高效搜索功能，可擴展的分布式系統(tǒng)。它構建于Apache Lucene搜索引擎庫之上。
　　

　　Logstash是一個用來搜集、分析、過濾日志的工具。它支持幾乎任何類型的日志，包括系統(tǒng)日志、錯誤日志和自定義應用程序日志。它可以從許多來源接收日志，這些來源包括 syslog、消息傳遞（例如 RabbitMQ）和JMX，它能夠以多種方式輸出數(shù)據(jù)，包括電子郵件、websockets和Elasticsearch。

　　Kibana是一個基于Web的圖形界面，用于搜索、分析和可視化存儲在 Elasticsearch指標中的日志數(shù)據(jù)。它利用Elasticsearch的REST接口來檢索數(shù)據(jù)，不僅允許用戶創(chuàng)建他們自己的數(shù)據(jù)的定制儀表板視圖，還允許他們以特殊的方式查詢和過濾數(shù)據(jù)。

2. 服務管理

　2.1. docker-compose配置

　　compose的配置文件路徑:docker-elk/docker-compose.yml

　　可以根據(jù)需要設置compose的相關參數(shù)

　2.2. 啟動容器

　　cd docker-elk

　　# 后臺啟動

　　docker-compose up -d

 　  # 查看容器

　　elasticsearch  開放9200，9300端口

      logstash開放5000-5001、9600、5044的tcp端口

　　kibana開放5601端口

　　驗證elasticsearch安裝成功：http://192.168.1.165:9200, 如果有如下顯示表示安裝成功:

　　驗證kibana安裝成功：http://192.168.1.165:5601, 如果有如下顯示表示安裝成功:

　2.2. 關閉容器

　　　　sudo docker-compose down -v

　　　　-v表示清空數(shù)據(jù)卷，會elasticsearch存儲的數(shù)據(jù)卷清空

　2.2. 重啟容器

　　　　sudo docker-compose restart不清空數(shù)據(jù)卷

　　　　任意修改elk的配置的時候都需要重啟