前言 elk是指elasticsearch、logstash

前言 ELK是指ElasticSearch、Logstash和Kibana这三个open-source软件的集合套件，这三个软件可以组成一套日志(log)分析和监控架构。 一、Elasticsearch： 一个基于Apache Lucene的分散式全文检索引擎，支援RESTful接口，并可对数据进行即时分析。 二、Logstash： 用于管理log的工具软件，可以进行log收集、过滤以及解析，并将资料输出储存。 三、Kibana： 一个前端Web套件，将ElasticSearch所储存的log资料转换成各式各样的图表，视觉化的呈现复杂数据。三、启动ElasticSearch

四、启动Logstash

接着就能在Discover中查询啰！ 最后在我们想要搜集log的server上安装Beats，将log档案传送至Elasticsearch即可。Beats虽然也可传送log，但并没有分析处理，因此我们需要Logstash进行规则处理。Beats有许多种Packetbeat(网络封包)， Filebeat(log档案)， Metricbeat(监控代理资讯)和 Winlogbeat(Windows事件)，各自有不同的应用就不多介绍。 所以实际上ELK的架构图如下：

结语 以往架设一个系统时，通常会将log写入档案之中，一旦发生问题时，难以阅读、查看的log档案，时常是维运的一大问题；透过使用ELK，在不用改变系统原有架构的情况下，可简化log的分析、查询等工作，并视觉化的呈现log资料。 参考资料 [URL] [URL]