部署EFK7.6.0集群：多应用日志收集指南

"这篇文章主要介绍了如何部署EFK (Elasticsearch, Fluentd, Kibana) 7.6.0集群来收集多个应用的日志。文章涵盖了环境准备、Elasticsearch集群部署、以及可能涉及的配置文件含义。" 在部署EFK集群的过程中，首要任务是准备运行环境。在给定的环境中，有四台服务器分别承担不同的角色：两台服务器（192.168.16.106和192.168.16.107）用于部署Elasticsearch，一台（192.168.16.103）运行Nginx和Filebeat，一台（192.168.16.105）部署Kibana。这样的配置使得日志从应用服务器（如Nginx）通过Filebeat发送到Elasticsearch进行存储和索引，然后通过Kibana进行可视化分析。 Elasticsearch是整个日志收集系统的核心，负责数据的存储和检索。在部署Elasticsearch 7.6.0集群时，需要配置以下几个关键参数： 1. `node.name`: 指定节点的名称，例如`node-1`，这对于识别和管理集群中的节点至关重要。 2. `path.data`: 设置Elasticsearch的数据存储路径，例如 `/data/elasticsearch`。 3. `path.logs`: 定义日志文件的存储位置，例如 `/var/log/elasticsearch`。 4. `network.host`: 配置对外提供服务的地址，这里包括对外IP和本地环回地址，如 `192.168.16.106,127.0.0.1`。 5. `http.port`: 指定HTTP接口监听的端口，默认为9200，用于客户端的API请求。 6. `cluster.initial_master_nodes`: 用于初始化主节点，集群启动时，必须包含这些节点才能选举出主节点。在多节点配置中，需要列出所有主节点的名称。 7. `bootstrap.memory_lock`: 如果设置为`true`，将锁定节点的内存，防止交换，提高性能。 8. `discovery.seed_hosts`: 用于集群发现，列出了集群中所有节点的主机名或IP地址，确保节点能互相找到并形成集群。 在部署多节点Elasticsearch集群时，`cluster.initial_master_nodes` 和 `discovery.seed_hosts` 的配置尤为重要。`cluster.initial_master_nodes` 用于确定哪些节点可以作为主节点参与选举，而`discovery.seed_hosts` 则帮助节点找到彼此并建立连接。 在集群模式下，`cluster.name` 用于定义集群的唯一标识，确保相同名称的节点加入同一个集群。`bootstrap.memory_lock` 参数如果开启，能够锁定节点的物理内存，避免操作系统进行内存交换，提高性能。 Filebeat是轻量级的日志转发代理，它从应用服务器（如Nginx）收集日志，然后发送到Elasticsearch。Nginx服务器（192.168.16.103）上需要安装Filebeat并配置其输出到Elasticsearch的地址和端口。 最后，Kibana（192.168.16.105）是Elasticsearch的可视化工具，用户可以通过Kibana的界面查询、分析和展示存储在Elasticsearch中的日志数据。 总结来说，部署EFK 7.6.0集群涉及到环境规划、Elasticsearch集群配置、Filebeat设置以及Kibana的部署，通过这样的组合，可以有效地管理和分析来自多个应用的日志数据。