一、ELK知识了解

1-ELK组件

工作原理：
（1）在所有需要收集日志的服务器上部署Logstash；或者先将日志进行集中化管理在日志服务器上，在日志服务器上部署 Logstash。
（2）Logstash 收集日志，将日志格式化并输出到 Elasticsearch 群集中。
（3）Elasticsearch 对格式化后的数据进行索引和存储。
（4）Kibana 从 ES 群集中查询数据生成图表，并进行前端数据的展示。

2- ELK部署 

1、环境

(1) 操作系统版本：

[root@kk ~]# cat /etc/redhat-release
CentOS Linux release 7.9.2009 (Core)

 (2) docker版本( docker安装 --参考-http://t.csdnimg.cn/wiQTu）

[root@kk ~]# docker -v
Docker version 24.0.7, build afdd53b

(3) 本次ELK三个组件选择官网最新8.7.1版本

[root@kk ~]# systemctl start docker  //启动docker

//拉取镜像文件

[root@kk ~]# docker pull docker.elastic.co/elasticsearch/elasticsearch:8.11.1  //这是最新版本

[root@kk ~]# docker pull elasticsearch:8.7.1   //本文用8.7版本

# 查看镜像 docker images 

[root@kk ~]# docker images

2.创建一个ELK容器通信专用网络 

[root@kk ~]# docker network create elastic
6d32f1379cdbe03a44fafd7445aae8dcb15c79825d9ec6f2e34234abcd633f26
查看建立的信道情况：docker network ls

如下图所示：

3.创建ELK目录，方便容器启动后目录挂载 

 [root@kk ~]# mkdir -p /etc/{elasticsearch,kibana,logstash}

4. 拉取配置文件

# 启动elasticsearch

[root@kk ~]# docker run -d --name es --net elastic -P -e "discovery.type=single-node" elasticsearch:8.7.1
50d2ef8abc301f370664b137c6d6f93bf8dd72b2b7539d4509d8571a04591515

# 进入容器内

# 进入配置文件目录
[root@kk ~]# docker exec -it es /bin/bash
elasticsearch@50d2ef8abc30:~$  cd /usr/share/elasticsearch/config
（ 容器内工作目录为/usr/share/elasticsearch/config）
# 退出容器
elasticsearch@50d2ef8abc30:~/config$ exit
exit
# 复制文件
[root@kk ~]# docker cp es:/usr/share/elasticsearch/config/elasticsearch.yml /etc/elasticsearch/config
Successfully copied 2.56kB to /etc/elasticsearch/config

# 修改权限
chmod -R 777 /etc/elasticsearch

5.重新启动容器并挂载目录 

查看运行的容器

[root@kk ~]# docker ps -a
CONTAINER ID   IMAGE                 COMMAND                  CREATED         STATUS                          PORTS                                                                                      NAMES
c2a3a23141dd   elasticsearch:8.7.1   "/bin/tini -- /usr/l…"   9 minutes ago   Up 9 minutes                    0.0.0.0:32769->9200/tcp, :::32769->9200/tcp, 0.0.0.0:32768->9300/tcp, :::32768->9300/tcp   es

# 删除临时启动容器
                                                             vibrant_blackwell
[root@kk ~]# docker rm -f es
es

# 启动容器挂载目录

docker run -d --name es --net elastic -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" -v /etc/elasticsearch/config/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml -v /etc/elasticsearch/data/:/usr/share/elasticsearch/data -v /etc/elasticsearch/plugins/:/usr/share/elasticsearch/plugins --privileged=true elasticsearch:8.7.1
 

[root@kk ~]# docker run -d elasticsearch:8.7.1
e48d06b30424b9d345431152cc69d0870fcbf2e0cbe60f48e3a3e9b51684788e

# 若无加载的容器，那么需要重启docker 
sudo systemctl restart docker

# 查看容器状态
docker ps

# 查看容器日志状态
docker logs -f es

总算启动成功。

插曲：

期间出现下面问题，删除容器docker 重装不成功，之后把容器删除，重新挂载，后再次启动容器反复尝试。 

docker: Error response from daemon: failed to create task for container: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: error during container init: error mounting "/etc/elasticsearch/config/elasticsearch.yml" to rootfs at "/usr/share/elasticsearch/config/elasticsearch.yml": stat /etc/elasticsearch/config/elasticsearch.yml: not a directory: unknown: Are you trying to mount a directory onto a file (or vice-versa)? Check if the specified host path exists and is the expected type.

查询解决方案：

这个错误通常是由于容器无法启动导致的。错误信息中提到了一个文件路径的问题，可能是由于文件路径不存在或者文件类型不匹配导致的。建议您检查一下容器的配置文件，确保文件路径正确，并且文件类型与容器内部的文件类型匹配。如果文件路径正确，但是文件类型不匹配，您可以尝试将文件复制到容器内部，并将其类型更改为正确的类型。如果问题仍然存在，您可以尝试重新安装Docker或者更新Docker版本，以确保Docker的正常运行。 

 没办法，只能重新安装下docker 版本再从头来。

6.验证elasticsearch是否正常启动

curl 172.20.193.85:9200