Logstash、Elasticsearch 和 Kibana(簡稱 ELK Stack)是一套開源的日志管理工具
在 Linux 系統上,你可以使用包管理器(如 apt 或 yum)來安裝 Logstash。以下是在基于 Debian 的系統(如 Ubuntu)上安裝 Logstash 的命令:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install logstash
創建一個新的 Logstash 配置文件(例如:/etc/logstash/conf.d/logstash-elasticsearch.conf),并添加以下內容:
input {
file {
path => "/path/to/your/log/files/*.log"
start_position => "beginning"
}
}
filter {
# 根據你的日志格式添加相應的過濾器
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "your_index_name-%{+YYYY.MM.dd}"
}
}
這個配置文件定義了一個輸入(從文件中讀取日志)、一個過濾器(解析日志格式)和一個輸出(將解析后的日志發送到 Elasticsearch)。
在 Linux 系統上,你可以使用包管理器(如 apt 或 yum)來安裝 Elasticsearch。以下是在基于 Debian 的系統(如 Ubuntu)上安裝 Elasticsearch 的命令:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install elasticsearch
編輯 Elasticsearch 的配置文件(例如:/etc/elasticsearch/elasticsearch.yml),并添加以下內容:
network.host: localhost
http.port: 9200
在命令行中運行以下命令來啟動 Logstash 和 Elasticsearch:
sudo systemctl start logstash
sudo systemctl start elasticsearch
現在,Logstash 已經與 Elasticsearch 集成,并開始從日志文件中讀取數據并將其發送到 Elasticsearch。你可以使用 Kibana 來可視化和分析這些數據。
