ELK本地（win10）搭建

下载

• ElasticSearch 分布式、RESTful风格的搜索和分析的全文检索引擎
• Kibana 实现数据可视化
• Logstash 采集日志输出到ElasticSearch

ElasticSearch安装

• ElasticSearch
  Window版的ElasticSearch的安装很简单，解压后的目录如下：
  
  修改elasticsearch配置文件：config/elasticsearch.yml，增加以下两句命令：允许elasticsearch跨越访问

http.cors.enabled: true
http.cors.allow‐origin: "*"

运行ElasticSearch/bin目录下的elasticsearch.bat启动es

注意：9300是tcp通讯端口，集群间和TCPClient都执行该端口，9200是http协议的RESTful接口 。
通过浏览器访问http://localhost:9200/ 可查看到ElasticSearch服务器的json信息

Elasticsearch核心概念

• 索引 index

一个索引就是一个拥有相似特征文档的集合。
比如：用户数据索引，订单数据索引等。索引必须全部是小写字母。

• 类型 type

在一个索引中，你可以定义一种或多种类型。
一个类型是你的索引的一个逻辑上的分类/分区，其语义完全由你来定。通常，会为具有一组共同字段的文档定义一个类型。

• 字段 field

相当于是数据表的字段，对文档数据根据不同属性进行的分类标识

• 映射 mapping

mapping是处理数据的方式和规则方面做一些限制，如某个字段的数据类型、默认值、分析器、是否被索引等等。
这些都是映射里面可以设置的，其它就是处理es里面数据的一些使用规则设置也叫做映射，按着最优规则处理数据
对性能提高很大，因此才需要建立映射，并且需要思考如何建立映射才能对性能更好。

• 文档 document

一个文档是一个可被索引的基础信息单元。
比如，你可以拥有某一个客户的文档，某一个产品的一个文档，某个订单的一个文档。
文档以JSON（Javascript Object Notation）格式来表示
在一个index/type里面，你可以存储任意多的文档。注意，尽管一个文档，物理上存在于一个索引之中，文档必须被索引/赋予一个索引的type。

• 接近实时 NRT

Elasticsearch是一个接近实时的搜索平台。
这意味着，从索引一个文档直到这个文档能够被搜索到有一个轻微的延迟（通常是1秒以内）

• 集群 cluster

一个集群就是由一个或多个节点组织在一起，它们共同持有整个的数据，并一起提供索引和搜索功能。
一个集群由一个唯一的名字标识，这个名字默认就是“elasticsearch”。这个名字是重要的，因为一个节点只能通过指定某个集群的名字，来加入这个集群

• 节点node

一个节点是集群中的一个服务器，作为集群的一部分，它存储数据，参与集群的索引和搜索功能。
和集群类似，一个节点也是由一个名字来标识的，默认情况下，这个名字是一个随机的漫威漫画角色的名字，这个名字会在启动的时候赋予节点。
这个名字对于管理工作来说挺重要的，因为在这个管理过程中，你会去确定网络中的哪些服务器对应于Elasticsearch集群中的哪些节点。
一个节点可以通过配置集群名称的方式来加入一个指定的集群。
默认情况下，每个节点都会被安排加入到一个叫做“elasticsearch”的集群中，这意味着，如果你在你的网络中启动了若干个节点，并假定它们能够相互发现彼此，它们将会自动地形成并加入到一个叫做“elasticsearch”的集群中。
在一个集群里，只要你想，可以拥有任意多个节点。而且，如果当前你的网络中没有运行任何Elasticsearch节点，这时启动一个节点，会默认创建并加入一个叫做“elasticsearch”的集群。

• 分片和复制 shard&replicas

一个索引可以存储超出单个结点硬件限制的大量数据。
比如，一个具有10亿文档的索引占据1TB的磁盘空间，而任一节点都没有这样大的磁盘空间；或者单个节点处理搜索请求，响应太慢。为了解决这个问题，Elasticsearch提供了将索引划分成多份的能力，这些份就叫做分片。
当你创建一个索引的时候，你可以指定你想要的分片的数量。
每个分片本身也是一个功能完善并且独立的“索引”，这个“索引”可以被放置到集群中的任何节点上。
分片很重要，主要有两方面的原因：
1）允许你水平分割/扩展你的内容容量。
2）允许你在分片（潜在地，位于多个节点上）之上进行分布式的、并行的操作，进而提高性能/吞吐量。
至于一个分片怎样分布，它的文档怎样聚合回搜索请求，是完全由Elasticsearch管理的，对于作为用户的你来说，这些都是透明的。
在一个网络/云的环境里，失败随时都可能发生，在某个分片/节点不知怎么的就处于离线状态，或者由于任何原因消失了，这种情况下，有一个故障转移机制是非常有用并且是强烈推荐的。为此目的，Elasticsearch允许你创建分片的一份或多份拷贝，这些拷贝叫做复制分片，或者直接叫复制。
复制之所以重要，有两个主要原因： 在分片/节点失败的情况下，提供了高可用性。因为这个原因，注意到复制分片从不与原/主要（original/primary）分片置于同一节点上是非常重要的。扩展你的搜索量/吞吐量，因为搜索可以在所有的复制上并行运行。总之，每个索引可以被分成多个分片。一个索引也可以被复制0次（意思是没有复制）或多次。一旦复制了，每个索引就有了主分片（作为复制源的原来的分片）和复制分片（主分片的拷贝）之别。
分片和复制的数量可以在索引创建的时候指定。在索引创建之后，你可以在任何时候动态地改变复制的数量，但是你事后不能改变分片的数量。
默认情况下，Elasticsearch中的每个索引被分片5个主分片和1个复制，这意味着，如果你的集群中至少有两个节点，你的索引将会有5个主分片和另外5个复制分片（1个完全拷贝），这样的话每个索引总共就有10个分片。

Logstash安装

Logstash 安装也是非常简单的，解压后，为了方便，在bin目录下新建config文件
config文件格式：

#　输入
input {
  ...
}

# 过滤器
filter {
  ...
}

# 输出
output {
  ...
}

例如：
我要收集的单条日志格式为：

"20191212","201912","2019","12","12","12","59","50","NONE","1084","40004","1084867CDE00FAA0B33C","10483306","chamholems","166","1576126798","1","测试数据","0","0","0","{352300:2:8}","","1935","40001"

每条数据是用换行符隔开的，每个字段用双引号包裹，并用逗号隔开

input {
	file{
		path => "E:/temp/*.log"  				# 要导入的文件的位置，可以使用*通配符
		start_position => beginning 		# 从文件开始的位置开始读
	}
 }  
  
filter {
    # grok插件的正则捕获
	grok {
		match =>{ "message" => "\"%{INT:log_ymd}\",\"%{INT:log_ym}\",\"%{YEAR:year}\",\"%{MONTHNUM:month}\",\"%{INT:day}\",\"%{INT:hour}\",\"%{INT:minute}\",\"%{INT:week}\",\"%{DATA:app_channel}\",\"%{INT:channel_id}\",\"%{INT:server}\",\"%{DATA:account_id}\",\"%{INT:role_id}\",\"%{DATA:role_name}\",\"%{INT:role_level}\",\"%{INT:reason_time}\",\"%{INT:change}\",\"%{DATA:reason}\",\"%{INT:bonus_money}\",\"%{INT:bonus_free_zuanshi}\",\"%{INT:bonus_zuanshi}\",\"%{DATA:bonus_item}\",\"%{DATA:bonus_qingyuan}\",\"%{INT:appid}\",\"%{INT:msid}\""
		}		
		}
	mutate{
		remove_field => ["host","path","message","@timestamp","@version"] 	 # 移除自动生成的字段
	}
}
  
output {  
	elasticsearch { hosts => localhost
					index => "bi"								# 表名导入的索引库，不存在会自动创建
					document_type =>"resource"}    # type字段，表明导入的日志类型
	
	stdout { codec => rubydebug } 
}

grok正则测试地址
例子：
input:

"20191212","201912","2019","12","12","12","0","50","NONE","1070","20024","1053o0tUK57xJJnp592vHjt25K0UU8m4","10365089","香蕉布呐呐","294","1576123202","1","帮会篝火掉落","0","0","0","{4:1800:40021963}","","1935","20022"

pattern:

\"%{INT:log_ymd}\",\"%{INT:log_ym}\",\"%{YEAR:year}\",\"%{MONTHNUM:month}\",\"%{INT:day}\",\"%{INT:hour}\",\"%{INT:minute}\",\"%{INT:week}\",\"%{DATA:app_channel}\",\"%{INT:channel_id}\",\"%{INT:server}\",\"%{DATA:account_id}\",\"%{INT:role_id}\",\"%{DATA:role_name}\",\"%{INT:role_level}\",\"%{INT:reason_time}\",\"%{INT:change}\",\"%{DATA:reason}\",\"%{INT:bonus_money}\",\"%{INT:bonus_free_zuanshi}\",\"%{INT:bonus_zuanshi}\",\"%{DATA:bonus_item}\",\"%{DATA:bonus_qingyuan}\",\"%{INT:appid}\",\"%{INT:msid}\"

配置好文件后，使用cmd命令启动logstash

logstash.bat -f 配置文件名.conf

启动后，logstash会读取你path => “E:/temp/*.log” 文件下的文件，并且监听这些文件，当写入新数据时，会自动加载到es服务器。

Kibana安装

Kibana 的安装同样简单，直接运行bin文件下的bat文件即可，可视化界面还不熟悉，暂时不写了