建議申請5臺機器部署elfk：

filebeat(每臺app)--> logstash(2臺keepalived)--> elasticsearch(3臺)--> kibana(部署es上)采集輸出              處理+轉發             分布式存儲              展示

ELK中文社區: 搜索客，搜索人自己的社區

官方文檔：Documentation

Elasticsearch: Elasticsearch Guide | Elastic

Logstash: Logstash Reference | Elastic

Kibana: Kibana Guide | Elastic

Filebeat: Filebeat Reference | Elastic

實驗準備工作:

1，本次實驗準備2臺機器部署elfk：

? 192.168.10.11 es1.qf.com Elasticsearch/kibana/head 2U3G

? 192.168.10.12 es2.qf.com Elasticsearch/logstash 2U3G

2，角色劃分：

? 2臺機器全部安裝jdk1.8, 因為elasticsearch是java開發的

? 2臺全部安裝elasticsearch (后續都簡稱為es)

? master節點上需要安裝kibana以及head插件

? data上安裝 logstash

3，ELK版本信息：

? Elasticsearch-6.4.1

? logstash-6.4.1

? kibana-6.4.1

? filebeat-6.4.1

4，所有機器做好互相解析,時間同步, 關閉防火墻, selinux

5，設置JVM堆大小，注意: 這一步在本實驗中不做, 因為我們的虛擬機本身內存就很小, 在公司服務器性能比較強悍, 為了提高es性能, 需要設置。

# sed -i 's/-Xms1g/-Xms4g/' /usr/local//es/config/jvm.options

# sed -i 's/-Xmx1g/-Xmx4g/' /usr/local/es/config/jvm.options

注意：確保堆內存最小值（Xms）與最大值（Xmx）的大小相同，防止程序在運行時改變堆內存大小。

如果系統內存足夠大，將堆內存最大和最小值設置為31G，因為有一個32G性能瓶頸問題。堆內存大小不要超過系統內存的50%