ELK 是軟體集合 Elasticsearch、Logstash、Kibana 的簡稱，由這三個軟體及其相關的元件可以打造大規模日誌實時處理系統。

其中，Elasticsearch 是一個基於 Lucene 的、支援全文索引的分散式儲存和索引引擎，主要負責將日誌索引並存儲起來，方便業務方檢索查詢。

Logstash 是一個日誌收集、過濾、轉發的中介軟體，主要負責將各條業務線的各類日誌統一收集、過濾後，轉發給 Elasticsearch 進行下一步處理。

Kibana 是一個視覺化工具，主要負責查詢 Elasticsearch 的資料並以視覺化的方式展現給業務方，比如各類餅圖、直方圖、區域圖等。

所謂“大規模”指的是 ELK 組成的系統以一種水平擴充套件的方式每天支援收集、過濾、索引和儲存 TB 規模以上的各類日誌（注：1TB = 1024GB ）。

通常，各類文字形式的日誌都在處理範圍，包括但不限於 Web 訪問日誌，如 Nginx/Apache Access Log；應用執行時日誌，如 Swift/PHP/Python/Ruby/Java/C# 等構建的應用程式在執行業務過程中記錄下來的日誌。 

How it work ?

圖 1. ELK 系統應用架構

上圖是 ELK 實際應用中典型的一種架構，其中 Filebeat 部署在具體的業務機器上，通過定時監控的方式獲取增量的日誌，並轉發 push 到 Redis 的一個 list 物件中暫存。

Redis 以高讀寫效能以及擁有支援 push/pop 操作的 list 資料結構的特徵，作為一個緩衝佇列的角色，接收所有從 Filebeat 收集轉發過來的日誌。

然後，Logstash 從 Redis 中獲取日誌，並通過 Input-Filter-Output 三個階段的處理，更改或過濾日誌，最終輸出我們感興趣的資料。

最後，Elasticsearch 儲存並索引從 Logstash 轉發過來的資料，並通過 Kibana 查詢和視覺化展示，達到實時分析日誌的目的。

Getting started

我們一步步安裝部署 ELK 系統的各個元件，然後以網站訪問日誌為例進行資料實時分析。（假定已經有部署好的 Nginx 伺服器和 Redis 例項）

首先，到 ELK 官網下載需要用到的 Filebeat/Logstash/Elasticsearch/Kibana 軟體安裝包。（推薦下載編譯好的二進位制可執行檔案，直接解壓執行就可以部署）

1、下載並配置 Filebeat，開啟日誌增量監控

解壓後的 Filebeat 包含以下三個檔案：

解壓後的 Filebeat

修改其中 filebeat.yml 的內容為：

filebeat.yml 配置檔案示例

上述配置表示，Filebeat 每 10s 監控一次

/path/to/nginx/access/*.log

目錄下所有以 .log 結尾的檔案，並且將增量日誌轉發到 Redis 伺服器。

然後，後臺啟動 Filebeat 程序：

nohup ./filebeat -c ./filebeat.yml & 

這時候，在瀏覽器上訪問 Nginx 伺服器並生成訪問日誌後，Filebeat 會及時的將日誌轉發到 Redis 伺服器。轉發的時候，Filebeat 會傳輸 JOSN 物件，而且原生的 Nginx 日誌文字會作為 message 欄位。

傳輸的 JOSN 物件

2、下載並配置 Logstash ，開啟日誌過濾

解壓後的 Logstash 包含以下目錄和檔案：

Logstash 解壓目錄和檔案

建立並編輯 filebeat-logstash-elastic.conf 檔案，內容為：

Logstash 配置檔案

配置檔案主要分為三大部分： Input / Filter / Output，對應收集、過濾、轉發三個階段。顯然，Input 階段只需要指定 Redis 伺服器相關資訊即可，Output 階段只需要指定 Elasticsearch 伺服器相關的資訊即可，比較複雜的是 Filter 過濾階段。

可以看到，上述配置中，grok 外掛使用正則表示式將 Nginx 日誌的各個欄位匹配出來，包括訪問使用者 ip 地址、請求時間和地址、伺服器響應時間和響應位元組以及使用者標示 User-Agent 等。

然後，mutate、ruby、useragent、date、kv 等外掛配合使用，過濾並獲取到感興趣的欄位，最後輸出如下示例的 JOSN 物件：

Logstash 轉換後輸出的 JSON 物件

這就是最終儲存在 Elasticsearch 中的文件內容。

接下來，就可以啟動 Logstash 程序了：

nohup ./bin/logstash agent -f ./filebeat-logstash-elastic.conf &

3、配置並啟動 Elasticsearch 服務

下載並解壓後，可以看到 ES 的目錄和檔案：

ES 目錄和檔案

修改 conf/elasticsearch.yml 內容如下：

ES 配置檔案

指定文件和日誌的儲存路徑以及監聽的地址和埠即可。注意，應當保證有足夠的磁碟空間來儲存文件，否則 ES 將拒絕寫入新資料。

環境變數 ES_HEAP_SIZE 被讀取為 Elasticsearch 的最大記憶體空間，一般設定為你機器記憶體的一半即可： 

export ES_HEAP_SIZE=10g

然後，啟動 ES 服務即可：

nohup ./bin/elasticsearch &

4、配置並啟動 Kibana 服務

下載解壓後的 Kibana 目錄和檔案：

Kibana 目錄和檔案

修改 conf/kibana.yml ，內容為：

 elasticsearch.url: "http://localhost:9200"

指定 ES 服務的地址和埠即可，然後啟動 Kibana 程序：

nohup ./bin/kibana &

tips：最好手動退出一下終端

exit

否則，關閉終端後，Kibana 程序可能也停止運行了。

然後，就可以在瀏覽器訪問 Kibana 了 http://10.142.86.182:5601/ （換成相應的 IP 地址訪問）

Kibana 介面

注意：初次訪問 Kibana 的時候，需要配置一個預設的 ES 索引，一般填寫 logstash-* 即可。

接下來，就可以使用 Kibana 的視覺化功能分析日誌了：

Kibana Visualize 功能
Kibana 視覺化資料分析

總結

綜上，我們配置並部署了 ELK 的整套元件，實現了日誌收集、過濾、索引和視覺化的全部流程，基於這套系統我們就可以實時的瞭解業務執行狀態。

tips：

ELK 各個元件執行過程中會產生大量的日誌，所以需要注意日誌處理，要麼 > /dev/null 全部忽略，要麼儲存在大磁碟空間，否則可能寫滿磁碟導致程序被 killed

文／Ceelog（簡書作者）
原文連結：http://www.jianshu.com/p/b2b675942e63
著作權歸作者所有，轉載請聯絡作者獲得授權，並標註“簡書作者”。