Clozzz的博客

安装elasticsearch： 1.解压安装包（我这里用的是elasticsearch6.2.2版本）tar -zxvf 2.切换用户su xxx（elasticsearch不能在root用户下启动） 如需增加用户并设置密码： useradd xxx passwd xxx 3.移动解压好的文件到soft文件夹下（个人习惯把应用都放在soft文件夹下） mv elasticsearch-6.2.2 soft/elasticsearch 4.修改配置参数 vi elasticsearch

一、elasticsearch数据模型 Index：索引，由多个Document组成 Type：索引类型，6.x中仅支持一个，以后将逐渐被移除 Document：文档，由多个field组成， Field：字段，包括字段名与字段值 二、Document管理 PUT/POST/GET/DELETE http://ip:端口/索引名称/类型/主键 创建：PUT、POST请求 查询：GET请求 删除：DELETE请求 二、创建elasticsearch数据库 PUT 库名 { “settings”:{

1、在grok中可以使用正则来匹配相应的日志记录 %{IP:client_id_address} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:http_response_time} grok中自带了120多种正则的匹配表达式，但个人建议还是自己根据要求去写对应的正则表达式，完全没有必要去记住grok中自带的正则表达式。 相应的在日志文件中的内容如下： # /etc/logstash/conf.d/01-..

json语句： { "name":"zhangsan", "friends": { "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } } 预期的解析格式： { "name":"zhangsan", "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } logstash配置文件写法： input { stdin {