Лучший способ настроить ELK в производство

Это немного сложнее, чем описано здесь,

Любой распределенный компонент будет пытаться предлагать функции сегментированным или разделенным способом. Аналогичным образом эластичный поиск в ELK основан на модели Master Slave и поддерживает данные на узлах данных ES. Это означает, что нужно настроить кластер узлов для самого эластичного поиска для его различных компонентов, таких как ES Master, данные ES и клиент ES.

Следующий уровень, если система требуется на производственном уровне, который требует настройки нескольких мастер-узлов с минимум 3 главными узлами.

Это было бы началом ELK.

Если нужно запустить такую ​​сложную систему при ограниченных ресурсах, рекомендуется использовать контейнеры для компонентов ELK и запускать их в среде оркестровки контейнеров. Kubernetes/Docker swarm - это варианты запуска кластера ELK на основе докеризованных экземпляров ELK. Опять же, эти структуры оркестрации также требуют настройки с несколькими мастерами, но это было бы справедливо, поскольку в облачной среде было бы намного больше компонентов, и все они могли бы контролироваться с помощью этих структур оркестрации.

Это зависит от вашей задачи и ситуации. обычно рекомендуется установить Elasticsearch, logstash и kiban на 3 разных серверах. или, если вы даете больше данных, вы должны сделать кластер упругого поиска или может иметь более одного сервера logstash. filefeats будет на всех серверах данных (лог). Есть пример обработки 25000 журналов в секунду https://engineering.viki.com/blog/2015/log-processing-at-scale-elk-cluster-at-25k-events-per-second/