ELK 收集 Tomcat Accesslog 笔记

1. 下载ELK工具集中，3个工具集

logstash(收集器)

elasticsearch(数据库和搜索引擎)

kibana(elasticsearch御用UI)

2. 修改Tomcat accesslog的日志格式，我这里修改问 json 字符串

3. 配置 logstash 的 config, 输入为 tomcat accesslog 文件，输出为 elasticsearch，logstash 虽然是 java 编写，但它的这个配置文件格式，感觉是ruby的语法

logstash 会监控输入文件，如果有添加内容会，主动收集并转换为 json 格式输出到 elastcisearch 存储和索引, 创建索引格式为tomcat-accesslog.%{+yyyy-MM-dd}, 每天一个索引

4. 打开 kibana 创建索引模式 tomcat-accesslog.* 匹配 elasticsearch 的要分析的索引

5. 学习 elasticsearch Query DSL 控制 elasticsearch 开始查询，聚合，统计需要的信息