elfk 搭建搭建系列（一） -- 简介

ELK 简介

什么是 ELK

简介：ELK 是一整套解决方案，是三个软件产品的首字母缩写， Elasticsearch、 Logstash 和 Kibana。这三款软件都是开源产品，通常是配合使用，简称为 ELK 协议栈。

日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷，性能安全，从而及时采取措施纠正错误。

ELK 的组成工具简介

开源实时日志分析 ELK 平台由 Elasticsearch、 Logstash 和 Kibana 三个开源工具组成。现在新增一个 FileBeat，它是一个轻量级的日志收集处理工具（Agent），FileBeat 占用资源少，适合于在各个服务器上搜集日之后传输给 Logstash 。

• Elasticsearch 是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。

• Logstash 主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。

• Kibana 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助汇总、分析和搜索重要数据日志。

• FileBeat 隶属于 Beats。目前 Beats 包括四种工具。

  • Packetbeat 搜集网络数据流量
  • Topbeat 搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据
  • Filebeat 搜集文件数据
  • Winlogbeat 搜集 Windows 事件日志数据

工作原理 ：在需要收集日志的所有服务上部署 filebeat（不推荐使用 logstash 来收集日志，因为 logstash 相对来说极为耗费系统内存），logstash 用于监控并过滤收集日志，日志收集在一起交给全文搜索服务 ElasticSearch ，可以用 ElasticSearch 进行自定义搜索通过 Kibana 来结合自定义搜索进行页面展示。

闲聊两句

最后再多说一句，产品是拿来用的，只有让人用过才知道人家想要什么、想怎么用，这是一个过程。我在这个过程中，我学到了很多。当然了，我会尽量把我学到的在下面的文章中写出来。当然了，可能有一些并不适合你们的情况，仅供参考。

接下来的文章会包括：

• elfk 的搭建
• filebeat 读取多日志，并打上不同的 tag 来进行区分
• logstash 过滤日志，创建不同的动态索引，邮件报警等
• elasticsearch 的索引生命周期管理，索引的删除，及我遇见的问题
• kibana 的简单使用，包括查询、创建可视图、一些简单的设置

​当然了，elfk 的水太深，研究了将近一个月也就是简单的入门，还有更多的设置但入门足以。当然了，要是感觉写的还凑合，微信搜索 苦逼小码农 关注我的微信公众号。