轉自：http://467754239.blog.51cto.com/4878013/1700828/

一、簡介

1、核心組成

ELK由Elasticsearch、Logstash和Kibana三部分組件組成；

Elasticsearch是個開源分布式搜索引擎，它的特點有：分布式，零配置，自動發現，索引自動分片，索引副本機制，restful風格接口，多數據源，自動搜索負載等。

Logstash是一個完全開源的工具，它可以對你的日誌進行收集、分析，並將其存儲供以後使用

kibana 是一個開源和免費的工具，它可以為 Logstash 和 ElasticSearch 提供的日誌分析友好的 Web 界面，可以幫助您匯總、分析和搜索重要數據日誌。

2、四大組件

Logstash: logstash server端用來搜集日誌；

Elasticsearch: 存儲各類日誌；

Kibana: web化接口用作查尋和可視化日誌；

Logstash Forwarder: logstash client端用來通過lumberjack 網絡協議發送日誌到logstash server；

3、ELK工作流程

在需要收集日誌的所有服務上部署logstash，作為logstash agent（logstash shipper）用於監控並過濾收集日誌，將過濾後的內容發送到Redis，然後logstash indexer將日誌收集在一起交給全文搜索服務ElasticSearch，可以用ElasticSearch進行自定義搜索通過Kibana 來結合自定義搜索進行頁面展示。

4、ELK的幫助手冊

ELK官網：https://www.elastic.co/

ELK官網文檔：https://www.elastic.co/guide/index.html

ELK中文手冊：http://kibana.logstash.es/content/elasticsearch/monitor/logging.html

ELK 日誌分析系統