一、前言

前面的章节我们介绍通过ES Client将数据同步到ElasticSearch中，但是像日志这种数据没有必要自己写代码同步到ES那样会折腾死，直接采用ELK方案就好，ELK是Elasticsearch、Logstash、Kibana三款开源软件的缩写，ELK主要用于收集多台服务器日志统一整合后提供给用户。E和K前面都有介绍，L即Logstash它可以从各种数据源收集数据，并对数据进行过滤、分析和统一格式并将输出结果存储到指定位置。

二、Logstash工作原理介绍

图片来源于网络。

Logstash事件处理分为三个阶段

1、输入
使用输入将数据导入logstash，常见的输入file、syslog、redis、beats。

2、过滤器
过滤器是logstash管道的中间处理设备，一些常见有用过滤器：
grok：解析和构造任意文本。Grok是非结构化日志解析为结构化日志最佳方式。
mutate：对字段进行一般转换，可以重命令、删除、替换和修改事件中字段。

3、输出
一个事件可以有多个输出，一些常见的输出：elasticsearch、file、graphite。

四、ELK几种架构

1、各节点部署Logstash

Logstash部署于各节点，收集日志、数据、经过分析过滤后发送给远端ES.

优点是架构简单，缺点是Logstash比较占资源，并且当Logstash故障时数据会丢失，这种加构用来收集系统日志没什么问题，但用于同步业务数据肯定是不行的。

2、增加消息队列

在各节点部署Logstash Agent将日志数据收集然后发送给Kafka，Kafka再将数据传给Logstash进行过滤后发送给ES。引入消息队列，即使Logstash故障，数据也不会丢失。

3、Beats

收集端由logstash换成更轻量级的Beats，Beats有各种收集器，比如FileBeats(日志文件收集)、PacketBeats（网络数据包收集）等。

三、一个简单的ELK搭建例子

1、ES安装配置

下载地址：
https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.5.2-linux-x86_64.tar.gz
解压后修改elasticsearch.yml,将xpack这些都设置为false，不然可能会报错。然后
./elasticsearch -d启动即可。
jvm.options 调整参数设置，不然机器搞崩掉了 -Xms512m -Xmx512m。

访问http://121.36.200.208:9200/有返回JSON，即说明安装正常。

2、Logstash安装配置

下载地址：

https://artifacts.elastic.co/downloads/logstash/logstash-8.5.2-linux-x86_64.tar.gz
解压后，执行./logstash -e 'input { stdin { } } output { stdout {} }', 在控制台输入字符，如果输出JSON表示安装成功。
config/jvm.options   JVM参数调整一下 -Xms512m  -Xmx512m
编写logstash配置文件 logstash-test.conf，配置从4560端口接收数据，然后输出到ES。

启动 ./bin/logstash -f ./config/logstash-test.conf

3、Kibana安装配置

下载地址 
https://artifacts.elastic.co/downloads/kibana/kibana-8.5.2-linux-x86_64.tar.gz
解压安装，kibana.yml  修改 server.host: "0.0.0.0" 允许远程访问。
./kibana启动
http://121.36.200.208:5601/  即可以打开kibana控制台

4、SpringBoot项目

快速搭建一个SpringBoot项目，logback-spring.xml配置如下

配置一个LogstashTcpSocketAppender，指定输出目标为4560端口。

代码中增加以slf4j日志输出

5、查看效果

请求 http://121.36.200.208:8080/testLogstash?billsCode=1

然后在Kibana上索引就可以查看到索引文件如下。

Kibana配置Data View

最后进入Discover,可以快速根据关键词搜索日志内容了。

最后我们再也不用到每台服务器上用grep命令去查日志了，用了ELK确实方便了很多。