eft搭建详细步骤！

1、安装vmware
2、下载合适版本的centos并安装
稍后安装操作系统（安装第二个时把安装程序光盘映像文件ISO清空）
自定义硬件-内存4G-处理器2X2-网络适配器NAT-CD/DVD使用ISO映像
网络和主机名：主机名设置、开启以太网（安装好使用ip addr查看ip地址1-9-2开头的）
root密码设置
3、安装xshell
使用ip addr看ip然后连接上
4、安装jdk
yum search java|grep jdk
yum install -y java-1.8.0-openjdk
安装docker
yum -y update
sudo yum install yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install docker-ce
sudo systemctl start docker
sudo systemctl enable docker
安装vim
yum -y install vim
安装rz、sz
yum install lrzsz
5、安装efk
创建一个docker network用于efk各组件间网络的互通 docker network create efk
安装Elasticsearch
docker pull docker.elastic.co/elasticsearch/elasticsearch:7.15.1
docker images
docker run -d --name es --net=efk -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" fa601f7c24cb
安装kibana
docker pull docker.elastic.co/kibana/kibana:7.15.1
docker run -d --name kib --net efk -p 5601:5601 -e "ELASTICSEARCH_HOSTS=http://es:9200" 9871707dda25
安装Filebeat
docker pull docker.elastic.co/beats/filebeat:7.15.1
配置文件 /usr/local/docker/efk/filebeat/filebeat.docker.yml （mkdir -p /usr/local/docker/efk/filebeat/）注意复制下面的文件容易少单词！！
filebeat.inputs:

        - type: log
          paths:
            - /usr/mytmp/info.log
          state_cleanup_timeout: 0    
          json.keys_under_root: true
          json.overwrite_keys: true
          json.add_error_key: true
          json.message_key: my_message

        output.elasticsearch:
          hosts: ["111.130:9200"]
          index: "filebeat-7.15.1-%{+yyyy.MM.dd}"
        setup.template.name: "filebeat-7.15.1"
        setup.template.pattern: "filebeat-7.15.1-*"
    往 /usr/mytmp/info.log 放文件
    docker run --net=efk   --name filebeat  -d -v /usr/mytmp:/usr/mytmp  -v /usr/local/docker/efk/log:/usr/local/docker/efk/log -v /usr/local/docker/efk/filebeat/filebeat.docker.yml:/usr/share/filebeat/filebeat.yml 311985fdcf7c

6、查看网址 http://111.130:5601/app/management/kibana/indexPatterns
cheate index pattern:
name:filebeat-7.15.1-*
timestamp field:@timestamp
去discovery查看日志
7、查看索引 curl -X GET "localhost:9200/_cat/indices?v"
8、查看内容器内部 docker exec -it containId /bin/bash
9、docker常用
docker images
docker ps
docker ps -a
docker logs containerName
docker rmi imageId
docker rm containerId
docker start containerId
docker stop containerId
10、docker logs filebeat查看到的是容器启动的日志（不是容器服务运行中的日志）
启动日志在linux系统的文件夹是：/var/lib/docker/containers/[container-id]/[container-id]-json.log
11、docker logs filebeat想看filebeat服务运行的日志需要进入容器内部首先
docker exec -it containId /bin/bash
cd /usr/share/filebeat/logs