一、搭建单机单节点

二、单机多节点大致架构

此教程，是基于2个filebeat、2个logstash、2个es、1个kibana搭建，实际可无限扩展的。
PS：下图是网上找的，意思和教程一样，数量差的多了点，再画图太费事了，还望理解下。

在这里插入图片描述

如果软件已经启动了，请全部关掉，避免产生多余的报错，影响搭建。

进入elk1文件夹的filebeat文件夹，编辑filebeat.yml文件，修改读取日志文件的路径，并增加参数tags（用于后面区分日志是哪个路径读取的，并设置相关的索引），如图：
修改完数据的入口，接下来我们修改数据的出口，logstash的输出路径改为下图，（后面会将本机第二个logstash的端口修改为“5045”）：
```
  记得保存刚刚修改的文件!
```
接下来进入elk2文件夹的filebeat文件夹，编辑filebeat.yml文件，修改读取日志文件的路径（这里配置的是两个日志文件），并分别增加参数tags
两个不同的tags可用于后续的索引创建，区分来源。当然，如果两个文件记录的是同一份属性的日志，可以设置为同样的tags，看公司具体业务
接下来，同样修改数据的出口，和elk1文件夹中的配置是一样的，如图：
```
  记得保存刚刚修改的文件！ 	
```

进入elk1文件夹的logstash文件夹，编辑logstash-sample.conf文件，beat输入的地方不需要修改，输出到es的地方，根据之前设置的tags进行区分，分别建立索引，如图：
进入elk2文件夹的logstash文件夹，编辑logstash-sample.conf文件，beat输入的地方将端口改为“5045”，避免启动时，端口冲突。这里也对应了之前设置filebeat配置文件的数据输出端口

	注意，这里配置比较麻烦，博主在搭建过程中，花费的时间最多，里面隐藏了一些注意点（隐藏的坑），很容易出问题

进入elk1文件夹的elasticsearch文件夹，编辑config文件夹下的elasticsearch.yml
cluster.name 设置集群名称，两个es配置的集群名称必须一致
node.name 设置节点名称，两个es配置的节点名称必须不一致
node.master 是否存储数据，根据实际需求来设置
node.max_local_storage_nodes 单机最大节点数，根据需求来设置
http.port 对外端口，这里是默认的9200
transport.tcp.port 集群内通讯接口，这里设置的是默认的9300
discovery.zen.ping.unicast.hosts 集群中基于主机 TCP 端口的其他 Elasticsearch，端口为内部通讯的端口
接下来配置另外一个es服务，进入elk2文件夹的elasticsearch文件夹，编辑config文件夹下的elasticsearch.yml
对外端口修改为9201，对内端口修改为9301，其他同上。端口不修改的话，是启动不起来的，因为同一台机器会报端口冲突
修改完es的配置文件，还有一个隐藏的注意点，需要将elk2中nodes文件夹删除掉，因为里面有之前记录的数据，不删除启动的话，会和elk1中的数据文件冲突，造成第二个节点注册不上。