NancyLCL的博客

ELK集群部署---Kibana的部署最后选择一个默认展示的索引日志即可。将ES上的三个索引全部创建。

3. " multiline.match，multiline.negate "：multiline.match追加的位置， multiline.negate是否为否定模式。multiline.match为after，multiline.negate为true的意思就是从匹配的位置开始，只要是不满足匹配条件的，全部追加到匹配的那一行，直到再次遇到匹配条件的位置。2. " multiline.pattern "：匹配日志的正则，一般情况下会配置为从行首开始匹配。

注意：server.id=host:port:port，其中id为1-255，2888是集群间通讯的端口，3888为Leader。1>. 安装zookeeper：三个节点操作一致。3>. 启动zookeeper：三个节点同时操作。2>. 配置kafka：三个节点都要操作。3>. 启动Kafka：三个节点都要操作。1>. 安装kafka：三个节点操作一致。

ELK集群部署---ElasticSearch集群的部署安装head插件：在5.0版本之后不支持直接把插件包放入es安装目录的plugin目录下，需要单独安装。

相比上一个架构，该架构增加了filebeat模块，它是一个轻量级的日志收集处理工具，部署在客户 端，Filebeat占用资源少，适合于在各个服务器上搜集日志后传输给Logstash，但缺点是logstash如果出现故障，会造成日志丢失。该架构是最简单的一种架构，该架构通过logstash来收集日志，通过elasticsearch来分析，检索日志，通过kibana展示。该种架构使用fluentd来替换了Logstash，使用fluentd的插件同样可以直接将日志发送给 Elasticsearch。