本文是目前最流行的elk的研究第一篇

一、安装

1. 首先安装jdk8

2. 下载elasticsearch 和 logstash 注意版本，下载最新的

3. 配置elasticsearch，进入conf目录

修改node，网络等信息

安装插件：

bin/plugin -install lmenezes/elasticsearch-kopf

4. 使用logstash测试

bin/logstash -e 'input { stdin { } } output { elasticsearch_http { host => “10.10.1.12” } }’  

此时访问：

curl 'http://localhost:9200/_search?pretty'

此时可以看到输入的数据

访问elas的插件

http://localhost:9200/_plugin/kopf/ 

可以看到图形化数据

5. 配置kibana

elasticsearch_url: " http://10.10.1.11:9200"   url一定要写正确

然后就启动kibana，简单配置即可试用

二、 logstash

1. grok

filter中grok是最常用的工具了

参考：https://github.com/chenryn/logstash-best-practice-cn/blob/master/filter/grok.md 

1.1  匹配单行

filter {

  grok { match =>

    {“message”=>"(?<level>(\w+)?) (?<request_time>\d+(?:\.\d+)?) (?<test>(\w+)?)”}

具体正则为：

(?<level>(\w+)?) (?<request_time>\d+(?:\.\d+)?) (?<test>(\w+)?)

logstash的正则和perl是一样的

\w 是匹配一个字符，＋代表匹配前面一次或多次  ?代表匹配前面一次或0次

前面的?<level>是自定义的，可以任意写，后面的就不多解释了

运行效果如下： 

{

  "level": [

    [

      "abc"

    ]

  ],

  "request_time": [

    [

      "1.1"

    ]

  ],

  "test": [

    [

      "ed"

    ]

  ]

}

以上效果是使用grok 在线网站测试的：http://grokdebug.herokuapp.com/

1.2 匹配多行

filter {

  grok { match =>

    ["message" , "(?<level>(\w+)?) (?<request_time>\d+(?:\.\d+)?) (?<test>(\w+)?)",

     "message" , "(?<level>(\w+)?) (?<request_time>(\w+)?) (?<test>(\w+)?)"]

       }

}

匹配多行的格式如上；

当第一个message语句匹配不上的时候，会自动使用第二个message进行匹配