lumberjack改造前

deploy/fluent-bit/README.md

@@ -347,3 +347,67 @@ Fluent Bit 写入时使用 `json_date_key timestamp` 和 `json_date_format epoch
    若在管理端设置了公用访问日志策略的文件 `path`，节点会优先使用该目录；否则才使用 `EDGE_LOG_DIR`。Fluent Bit 的 `Path` 需与实际目录一致。
 
 以上完成即完成 Fluent Bit 的部署与验证。
+
+---
+
+## 九、HTTPS 模式（ClickHouse）
+
+当 ClickHouse 只开放 HTTPS（如 8443）或链路必须加密时，使用本目录新增模板：
+
+- `fluent-bit-https.conf`：Node+DNS 同机采集（HTTP+DNS 双输入）
+- `fluent-bit-dns-https.conf`：仅 DNS 节点采集
+- `fluent-bit-windows-https.conf`：Windows 节点 HTTPS 采集
+
+### 9.1 什么时候用 HTTPS 模板
+
+- ClickHouse 仅开放 HTTPS 端口；
+- 节点到 ClickHouse 跨公网或需要传输加密；
+- 你希望启用证书校验和 SNI。
+
+### 9.2 最小切换步骤（Linux）
+
+1. 备份当前配置：
+```bash
+sudo cp /etc/fluent-bit/fluent-bit.conf /etc/fluent-bit/fluent-bit.conf.bak
+```
+
+2. 切换为 HTTPS 模板（Node+DNS 同机示例）：
+```bash
+sudo cp /path/to/fluent-bit-https.conf /etc/fluent-bit/fluent-bit.conf
+```
+
+3. 设置账号密码（按你的服务文件方式设置）：
+```bash
+export CH_USER=default
+export CH_PASSWORD='your_password'
+```
+
+4. 修改模板中的关键项：
+- `Host` / `Port`（HTTPS 常见端口 `8443`）
+- `tls.verify`：`On`/`Off`
+- `tls.ca_file`：自签名证书建议配置 CA 文件
+- `tls.vhost`：证书 CN/SAN 对应主机名（SNI）
+
+5. 重启并检查：
+```bash
+sudo systemctl restart fluent-bit
+sudo systemctl status fluent-bit
+journalctl -u fluent-bit -f
+```
+
+### 9.3 验证点
+
+- `default.logs_ingest` 有新增数据（HTTP）
+- `default.dns_logs_ingest` 有新增数据（DNS）
+- Fluent Bit 日志中无 TLS 握手失败（`certificate`, `x509`, `tls`）
+
+### 9.4 回滚
+
+TLS 配置错误导致中断时，快速回滚：
+
+```bash
+sudo cp /etc/fluent-bit/fluent-bit.conf.bak /etc/fluent-bit/fluent-bit.conf
+sudo systemctl restart fluent-bit
+```
+
+回滚后恢复原 HTTP 模式，不影响平台 API/管理端配置。