es是一个文档数据库,logstash是一个数据收集工具,kibana是一个数据处理工具,这么去理解这三个组件是无可厚非的。我们通过logstash把数据收集起来,无论是通过读取日志,还是读取数据库,亦或是去监听某一个日志输出端口,总之logstash就是一个数据收集工具,收集到数据之后再把数据发送给es进行固化。好了,现在我们在es中已经有了数据了,那么,通过什么来分析呢?没错,就是通过kibana,它需要去es数据库拿去数据,然后对数据进行分析。
现在我们应该可以理elk三个组件的逻辑关系了。
现在把三者的关系理解清楚以后,就可以进行配置了。
根据关系图我们可以知道,第一步需要做的是连接数据源和logstash。
第一步:连接数据源和logstsh
事例代码如下:
path属性是指定元数据位置
type属性是指点该批元数据在es中的类型
start_position 属性表示从头开始读取数据
sincedb_path 属性标识为/dev/null'时标识无论如何从头开始读取文件
更多file插件的字段属性,可以参考elk文档。
hosts属性是表示es在哪
index 属性表示事件要被写进的索引
idle_flush_time 属性表示每10秒发送一次数据到es
active属性表示es要执行的动作
前面我们已经把需要的数据发送到es进行了存储了,现在要做的就是通过kibana来分析我们的数据。
编辑kibana的.ylm
设置es的地址。
至此,elk三大组件的连接已经完成。
你可以开心的去编辑你的数据格式和图标了...