如何快速入门Logstash进行Elasticsearch日志管理？

前言 本文主要介绍的是ELK日志系统中的Logstash快速入门 ELK介绍 ELK是三个开源软件的缩写，分别表示：Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat，它是一个轻量级的日志收集处理工具(Agent)，Filebeat占用资源少，适合于在各个服务器上搜集日志后传输给Logstash，官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。 Kibana 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助汇总、分析和搜索重要数据日志。 Filebeat是一个轻量型日志采集器，可以方便的同kibana集成，启动filebeat后，可以直接在kibana中观看对日志文件进行detail的过程。 Logstash介绍 Logstash是一个数据流引擎： 它是用于数据物流的开源流式ETL引擎,在几分钟内建立数据流管道,具有水平可扩展及韧性且具有自适应缓冲,不可知的数据源,具有200多个集成和处理器的插件生态系统,使用Elastic Stack监视和管理部署 Logstash包含3个主要部分： 输入(inputs)，过滤器(filters)和输出(outputs)。 inputs主要用来提供接收数据的规则，比如使用采集文件内容； filters主要是对传输的数据进行过滤，比如使用grok规则进行数据过滤； outputs主要是将接收的数据根据定义的输出模式来进行输出数据，比如输出到ElasticSearch中. 示例图: Logstash安装使用 一、环境选择 Logstash采用JRuby语言编写，运行在jvm中，因此安装Logstash前需要先安装JDK。如果是6.x的版本，jdk需要在8以上，如果是7.x的版本，则jdk版本在11以上。如果Elasticsearch集群是7.x的版本，可以使用Elasticsearch自身的jdk。 Logstash下载地址推荐使用清华大学或华为的开源镜像站。 下载地址: https://mirrors.huaweicloud.com/logstash https://mirrors.tuna.tsinghua.edu.cn/ELK ELK7.3.2百度网盘地址: 链接：https://pan.baidu.com/s/1tq3Czywjx3GGrreOAgkiGg 提取码：cxng 二、JDK安装 注:JDK版本请以自身Elasticsearch集群的版本而定。 1，文件准备 解压下载下来的JDK tar -xvf jdk-8u144-linux-x64.tar.gz 移动到opt/java文件夹中，没有就新建，然后将文件夹重命名为jdk1.8 mv jdk1.8.0_144 /opt/java mv jdk1.8.0_144 jdk1.8 2，环境配置 首先输入 java -version 查看是否安装了JDK，如果安装了，但版本不适合的话，就卸载 输入 rpm -qa | grep java 查看信息 然后输入: rpm -e --nodeps “你要卸载JDK的信息” 如: rpm -e --nodeps java-1.7.0-openjdk-1.7.0.99-2.6.5.1.el6.x86_64 确认没有了之后，解压下载下来的JDK tar -xvf jdk-8u144-linux-x64.tar.gz 移动到opt/java文件夹中，没有就新建，然后将文件夹重命名为jdk1.8。