ELK主要是由ElasticSearch、Logstash、Kibana組成,是由Elastic公司開發的用于日志采集、處理、展示、告警的日志系統,現已成為絕大多數網際網路企業的首選。整體日志架構提供了多種部署方式,可以應付大多數日志采集場景。
使用Beats直接采集
如果你隻想簡單的想采集檔案資料将日志存入ES中,可以使用FIlebeat工具,FileBeat可以快速的收集、處理資料,Beats将直接把資料寫入ES中。
為什麼要用logstash?
- 可以避免瞬時峰值。Logstash面對瞬時吞吐量較高的情況可以通過他的基于磁盤的緩沖來解決。
- 可以采集其他資料源,如資料庫、S3、消息隊列。
- 可以将采集的資料發送至多種不同的存儲,如HDFS、檔案等。
- 可以提供更多專業的複雜的資料轉化能力,包括增加一些條件采集邏輯等。
将Beats和Logstash一起配合使用可以提升整個日志采集系統可擴充性、容錯性、并且可以保證消息至少消費一次、保證消息傳送的安全性。
Beats與Logstash結合的架構
Beats運作在成千上萬個邊緣的節點,它們将日志采集後發送至Logstash。Logstash作為一個流式中心引擎将資料進行格式化、歸一化。Logstash處理完資料後将資料存入ES。如果Logstash層壓力過大,可以直接加節點即可。
其他常用場景
Logstash直接對接TCP、UDP、HTTP資料源,Beats接收Metrics、File、Windows相關、流量統計等。