ELK Stack是非常很強大的一套東西,同樣也意味著比較複雜。去年在搭建這套東西時，
也被折騰的夠累的.主要是些小坑，知道了的話其實沒什麼，非常簡單，不知道話，還是有點急人的。
   資料採集用的Beats系列，這玩意是用Go寫的,比直接用Logstash,效能要更好,分工也更明確.
      Packetbeat :  用來嗅探和分析網路流量，如HTTP、MySQL、Redis等
      Topbeat: 用來收集系統的監控資訊，功能如其名，類似*nix下的top命令.

      Filebeat: 用來收集資料來源是檔案的資料，比如常見的系統日誌、應用日誌、網站日誌等.

採集完了丟給Logstash,處理完畢後，上傳到AWS的Elasticsearch服務(這裡有個坑卡了我好久)完事.
       Logstash有很多的功能，比如N多的外掛，比如豐富的Grok等等，我很多處理都要靠它，
但可能是我沒用對，我發現其實它的一些外掛在生產環境有些也不是那麼靠譜的。
比如有個外掛

http_poller。

httppoller.conf:

input {
  http_poller {
    urls => {
      test1 => "http://localhost:8090"

      test2  => {
        type => "aa"
        tags => ["aaa","aaaa"]
        method => get
        url => "http://test2.xxx.com/pong"
      }

      test3 => {
        method => get
        url => "http://test3.xxx.com/pong"
        headers => {
          Accept => "application/json"
        }
        auth => {
          user => "xcl"
          password => "pwd"
        }
      }


    }
    request_timeout => 60
    interval => 60
    #codec => "json"
    metadata_target => "http_poller_metadata"
  }
}

filter {
    if [http_poller_metadata] {
      mutate {
        add_field => {
          "host" => "%{http_poller_metadata[name]}"
        }
      }
    }
}

output {
  stdout {
    codec => rubydebug
  }
}
 

./bin/logstash -f  httppoller.conf
當HTTP服務不能訪問時，會返回"_http_request_failure"

      我在本地怎麼測試都ok的，部署後簡單測試了下，也沒發現問題，但不久就發現，當日志伺服器很繁忙時，

這個外掛其實達不到所要的效果，老是誤報.最後只好自己開發了個服務來做這件事。所以用外掛時，一定在生

產環境觀察或測試一段時間,千萬不要簡單測試一下就不管了。

      另外，如果logstash的一些外掛不以滿足，又不想研究JRuby之類，可以考慮直接用exec，將資料傳
到外面直接自己處理.
     exec{
              command => " ...... "
          }
      還有一點，在生產環境，如果修改了對應的conf檔案，一定要注意先"configtest"一下，畢竟，conf
如果做了很多處理，很複雜的情況下，先確保修改後的conf格式是否正確還是很有必要的.
   ./bin/logstash -f xxx.conf --configtest
       最後還有一個要提醒的東西是除錯，logstash的處理正不正確，除了看日誌，可以在啟動時加"-v v"
能實時看到很多東西，但最好在測試環境用。  
       有很多小坑和小心得，不一一寫了，不過ELK Stack確實非常好用,也還有很多東西需要去挖掘，我基於它，

並整合其它服務，用Golang搭起了一套運維告警系統(包含郵件，微信實時通知及資料分析等)的骨架。

現在基本已離不開這套東西了。

BLOG：http://blog.csdn.net/xcl168