ELK
星火犹存
这个作者很懒,什么都没留下…
展开
-
logstash安装
1. 安装wget https://artifacts.elastic.co/downloads/logstash/logstash-6.2.3.tar.gztar -xvzf logstash-6.2.3.tar.gz2. 配置创建配置文件vim conf/logstash.conf最基本的配置#输入input { #标准输入 std...原创 2018-03-30 14:26:27 · 302 阅读 · 0 评论 -
elasticsearch 更新部分文档
在id后面跟_update 参数 方法要使用postupdate 请求最简单的一种形式是接收文档的一部分作为 doc 的参数, 它只是与现有的文档进行合并。对象被合并到一起,覆盖现有的字段,增加新的字段,保留其他已有内容。doc:{ ...}例如POST /website/blog/1/_update{ "doc" : { "aa" :"bbb...原创 2018-06-19 11:01:36 · 1321 阅读 · 0 评论 -
elasticsearch 6.x 集群搭建
1.环境准备ECS1:内网IP 10.122.70.89 ECS2:内网IP 10.122.70.144ECS3:内网IP 10.122.70.1582.安装ES参看前文3.集群配置这里配置和单机的有些不同#集群的名称 cluster.name: es6.2 #节点名称,其余两个节点分别为node-2 和node-3 node.name: n...原创 2018-05-24 13:48:39 · 2502 阅读 · 0 评论 -
elasticsearch post和put区别
区别post和put都能起到创建/更新的作用PUT /website/blog/123{ ... }POST /website/blog/123{ ... }需要注意的是==PUT==需要对一个具体的资源进行操作也就是要确定id才能进行==更新/创==建,而==POST==是可以针对整个资源集合进行操作的,如果不写id就由ES生成一个唯一id进行==创建==新文档,如果...原创 2018-06-19 10:46:02 · 1530 阅读 · 0 评论 -
logstash收集时filebeat区分日志
1.场景filebeat在服务器中同时收集nginx和web项目日志,需要对两个日志在logstash中分别处理2.版本区别==6.x之前==的可以使用filebeat的prospectors里面配置document_type类型,然后在logstash里面使用if [type] == “string” 来匹配,这里不做详细记录 ==6.x之后==配置文件不支持document_...原创 2018-05-21 17:49:49 · 6401 阅读 · 2 评论 -
elasticsearch简单使用
1. 创建索引文档PUT /megacorp/employee/1{ "first_name" : "John", "last_name" : "Smith", "age" : 25, "about" : "I love to go rock climbing", "interests原创 2018-05-21 16:48:54 · 189 阅读 · 0 评论 -
filebeat收集日志
安装wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.3-linux-x86_64.tar.gz2.配置tar xzvf filebeat-6.2.3-linux-x86_64.tar.gzcd filebeat-6.2.3-linux-x86_64 vim filebeat....原创 2018-05-21 16:47:46 · 1564 阅读 · 0 评论 -
kibana安装
kibana安装原创 2018-04-20 10:17:50 · 326 阅读 · 0 评论 -
logstash配置
input文件输入file { type => "nginxaccess" #路径 path => "/usr/local/nginx/logs/access.log" #开始位置 start_position => "beginning" }filter过滤器插件-grok1. 安装bi...原创 2018-03-30 14:27:41 · 661 阅读 · 0 评论 -
elasticsearch安装
1. 安装wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.2.3.tar.gztar -xvzf elasticsearch-6.2.3.tar.gz使用非root账号运行adduser espasswd es然后输入密码 创建成功后chown -R es:e...原创 2018-03-30 14:25:32 · 421 阅读 · 0 评论 -
filebeat 多行日志的处理
vim /usr/local/filebeat/filebeat.ymlmultiline: pattern: '^[0-2][0-9]:[0-5][0-9]:[0-5][0-9]' negate: true match: after上面配置的意思是:不以时间格式开头的行都合并到上一行的末尾(正则写的不好,忽略忽略) pattern:正则表达式 negate...原创 2018-06-19 11:58:15 · 7137 阅读 · 0 评论