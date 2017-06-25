ELK 簡介與操作實例 方俊傑
什麼是ELK ?  整合Elasticsearch, Logstash, Kibana 等三個元件來進行log file的 儲存與分析  Elasticsearch 能夠用來儲存與搜尋我們匯入的log檔案，並且提供 RESTful APIs...
匯入log檔的工具 -> Filebeats  Filebeats 是一個提供資料傳輸的平台，只要把它安裝在我 們想收集log檔案的裝置上並進行config之後，便可以將這 些資料傳到logstash中，
如何配置filebeats與輸入log檔案  需要修改 filebeat.yml 來新增想要匯入的檔案與定義檔案 類型。此外還有一些選項配置可以設定，例如：哪幾行不 要匯入，幾秒更新一次等可以設定
ELK平台流程圖 由於將Kibana設置為監聽localhost， 因此我們設置Nginx為proxy來做為 Kibana的對外窗口
Logstash配置流程  透過inputs, filter, outputs等一系列的配置使輸入的檔案能夠輸出至 elasticsearch中 filebeats Elasticsearch  date  grok  dissect ...
Logstash inputs  在沒有使用 filebeats 這一個元件之前，我們需要用logstash中的 file{ }來配置需要匯入的檔案  若使用file進行匯入檔案有一些不便的地方： 1. 如何定義資料類型，不像filebea...
Filter 介紹  Logstash中有許多filter可以使用，其中最常用的便是 grok, date  Grok：可以parse我們匯入的log 檔案，並且利用正規表示法來結構化我們的資料  Date：由於logstash預設的lo...
Filter 介紹: Grok SYSLOGTIMESTAMP %{MONTH} +%{MONTHDAY} %{TIME} 利用正規表示法來  Grok利用 patterns 來進行log的正規表示法。若匯入的log檔案很常見，我們便可以利用...
Grok: patterns 利用以定義的pattern進行正規化 資料來源：https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/gro...
 將我們匯入的log檔案進行結構化整理之後，在logstash的output檔中將 elasticsearch作為我們輸出的環境  除了利用 Kibana 作為搜尋介面外，elasticsearch 的 RESTful API也支援許多平 ...
利用Elasticsearch進行搜尋 - 2  或是利用 curl 在 CLI下進行搜尋 下圖為python的elasticsearch API
Upcoming SlideShare
Loading in …5
×

Elk 簡介與操作實例

28 views

Published on

介紹 elasticsearch, logstash, kibana 運用在log分析上

Published in: Software
0 Comments
0 Likes
Statistics
Notes
no profile picture user

  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
28
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Elk 簡介與操作實例

  1. 1. ELK 簡介與操作實例 方俊傑
  2. 2. 什麼是ELK ?  整合Elasticsearch, Logstash, Kibana 等三個元件來進行log file的 儲存與分析  Elasticsearch 能夠用來儲存與搜尋我們匯入的log檔案，並且提供 RESTful APIs 與 JSON等格式化介面，讓我們可以用不同語言去使 用這項服務  Logstash 是一個讓我們收集並集中化log檔案再進行處理的工具， 透過建立inputs, filter, outputs這一系列的配置檔案(config)便可 以將本地端的檔案送到elasticsearch中進行儲存  Kibana 讓我們將elasticsearch中的資料以網頁介面的方式呈現出 來，並且提供我們視覺化資料的功能。能夠利用這個介面進行資 料的篩選與搜尋
  3. 3. 匯入log檔的工具 -> Filebeats  Filebeats 是一個提供資料傳輸的平台，只要把它安裝在我 們想收集log檔案的裝置上並進行config之後，便可以將這 些資料傳到logstash中，
  4. 4. 如何配置filebeats與輸入log檔案  需要修改 filebeat.yml 來新增想要匯入的檔案與定義檔案 類型。此外還有一些選項配置可以設定，例如：哪幾行不 要匯入，幾秒更新一次等可以設定
  5. 5. ELK平台流程圖 由於將Kibana設置為監聽localhost， 因此我們設置Nginx為proxy來做為 Kibana的對外窗口
  6. 6. Logstash配置流程  透過inputs, filter, outputs等一系列的配置使輸入的檔案能夠輸出至 elasticsearch中 filebeats Elasticsearch  date  grok  dissect  geoip 透過 filter 可以對log檔案進行處理，例如： 利用 grok 這個功能可以結構化純文字的 log 檔案
  7. 7. Logstash inputs  在沒有使用 filebeats 這一個元件之前，我們需要用logstash中的 file{ }來配置需要匯入的檔案  若使用file進行匯入檔案有一些不便的地方： 1. 如何定義資料類型，不像filebeats有許多選項配置，logstash缺少許多對檔案的前置設定 2. 若需要收集多台機器的log檔案便需要更複雜的配置檔設定
  8. 8. Filter 介紹  Logstash中有許多filter可以使用，其中最常用的便是 grok, date  Grok：可以parse我們匯入的log 檔案，並且利用正規表示法來結構化我們的資料  Date：由於logstash預設的log產生時間是我們匯入資料的時間，因此若需要改變時間為log 檔案中的，我們就必須使用這個filter，這個功能可以讓分析非即時的log file更加方便
  9. 9. Filter 介紹: Grok SYSLOGTIMESTAMP %{MONTH} +%{MONTHDAY} %{TIME} 利用正規表示法來  Grok利用 patterns 來進行log的正規表示法。若匯入的log檔案很常見，我們便可以利用官 方提供的 pattern 進行結構化
  10. 10. Grok: patterns 利用以定義的pattern進行正規化 資料來源：https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns Pattern 型態 自定義的欄位名稱
  11. 11.  將我們匯入的log檔案進行結構化整理之後，在logstash的output檔中將 elasticsearch作為我們輸出的環境  除了利用 Kibana 作為搜尋介面外，elasticsearch 的 RESTful API也支援許多平 台，這樣子便能快速地做出例行性的log搜尋並檢視之 利用Elasticsearch進行搜尋 - 1
  12. 12. 利用Elasticsearch進行搜尋 - 2  或是利用 curl 在 CLI下進行搜尋 下圖為python的elasticsearch API

×