上篇文章给大家介绍了elk第一种部署方式，这次介绍第二种部署方式，并通过解决java服务端错误日志换行案例问题展开。

es中错误日志显示如下：

可以看出一个错误日志，在es里有多行

kibana数据展示如下：

可以看出一个错误日志，在kibana里有多行记录，这样就不方面查找

综上所述，使用第二种elk方案：Filebeat（采集数据）+Logstash（过滤）+Elasticsearch（建立索引）+Kibana（展示）
数据流方向是   filebeat ----> logstash ----->