elk 日志分析系统
Logstash+ElasticSearch+Kibana4
安装安装jdk
openjdk或者Oracle的jdk都可以。 这里用openjdk
yum install java-1.7.0-openjdk安装redisyum install redis/etc/init.d/redis start查看redis中的键值redis-cli keys ‘*’安装测试ElasticSearchrpm -ivh elasticsearch-1.4.4.noarch.rpm确认9200端口监听有正常返回值即可:curl -X GET http://localhost:9200[root@iZ28ywqw7nhZ ~]# curl -X GET http://localhost:9200{ “status” : 200, “name” : “Damballah”, “cluster_name” : “elasticsearch”, “version” : {“number” : “1.4.4”,”build_hash” : “c88f77ffc81301dfa9dfd81ca2232f09588bd512″,”build_timestamp” : “2015-02-19T13:05:36Z”,”build_snapshot” : false,”lucene_version” : “4.10.3” }, “tagline” : “You Know, for Search”}安装logstashrpm -ivh logstash-logstash配置
最简单的是接受一个输入,然后将在输出出来:
bin/logstash -e ‘input { stdin { } } output { stdout {} }’helo2015-03-19T09:09:38.161+0000 iZ28ywqw7nhZ helo
类似的还有:
bin/logstash -e ‘input { stdin { } } output { stdout { codec => rubydebug } }’
但是上面两个并没有很大的实际意义,我们可以将数据插入到elasticsearch中,然后用kibana显示出来。
首先要确保elasticsearch启动,9200监听。然后插入数据:/opt/logstash/bin/logstash -e ‘input { stdin { } } output { elasticsearch { host => localhost } }’
然后可以用kibana 查看 或者访问 curl ‘:9200/_search?pretty’ 来查看数据
下载kibana,运行
kibana就是一个java包。
tar tar.gzbin/kibana
里面配置index patterns ,用默认的就行了。
后记
基本上elk都是连着用的,,连官网都是同一个官方网站,比如说elasticsearch一般是从logstash上面取数据的。kibana 默认又是从elasticsearch上面取数据。三者结合的非常好。 更多功能正在探索中。elk 很强大的数据收集查询分析开源解决方案。
Logstash 最佳实践
Upgrade Required Your version of Elasticsearch is too old. Kibana requires Elasticsearch 0.90.9 or above. init: tty (/dev/tty4) main process killed by KILL signal
list all indexs curl ‘localhost:9200/_cat/indices?v’
delete
curl -XDELETE ‘localhost:9200/customer?pretty’ curl ‘localhost:9200/_cat/indices?v’
每个人心中,都会有一个古镇情怀,流水江南,烟笼人家。
