ELK

[rainit2006]

---

[rainit2006]

Logstach

plugins

• Input plugins https://www.elastic.co/guide/en/logstash/current/input-plugins.html An input plugin enables a specific source of events to be read by Logstash.

• codec：解码/处理输入数据格式。常见有：json，json_lines，line，csv等。 https://www.elastic.co/guide/en/logstash/current/codec-plugins.html

• tcp：Read events over a TCP socket. https://www.elastic.co/guide/en/logstash/current/plugins-inputs-tcp.html

• filter plugins https://www.elastic.co/guide/en/logstash/current/filter-plugins.html The mutate filter allows you to perform general mutations on fields. You can rename, remove, replace, and modify fields in your events.

• mutate https://www.elastic.co/guide/en/logstash/current/plugins-filters-mutate.html The mutate filter allows you to perform general mutations on fields. You can rename, remove, replace, and modify fields in your events.

Basic

設定ファイルの書式 ``` ＜プラグインの種類＞ { ＜使用するプラグイン1＞ { ＜設定パラメータ1＞ => ＜設定する値＞ ＜設定パラメータ2＞ => ＜設定する値＞ ： ： } ＜使用するプラグイン2＞ { ＜設定パラメータ1＞ => ＜設定する値＞ ＜設定パラメータ2＞ => ＜設定する値＞ ： ： } ： ： } ``` 「プラグインの種類」では、「input」もしくは「filter」、「output」を指定する。また、「使用するプラグイン」にはプラグイン名を指定する。プラグインは複数指定可能で、ここで指定した順序でイベントは処理される。 多くのプラグインでは設定パラメータが用意されており、それらは「＜パラメータ名＞ => ＜値＞」という形式で指定する。値にはBoolean（「true」もしくは「false」）、文字列、配列、ハッシュが指定できる。 Example: apache_import.conf https://knowledge.sakura.ad.jp/2736/ ``` input { stdin { } #stdinプラグインは、標準入力からテキストを読み込んで、その各行を1つのイベントとして処理するものだ。 } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } date { match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ] locale => "en" } mutate { replace => { "type" => "apache_access" } } } output { # stdout { codec => rubydebug } ### イベントを標準出力に「rubydebug」形式で出力するという設定だ。行頭の「#」を削除して有効にすれば、Elasticsearchにイベントを送信する前に標準出力にその内容が表示されるようになる。 elasticsearch { host => '172.17.4.199' } } ```

[rainit2006]

• 使用 Docker 搭建 ELK 环境 https://zhuanlan.zhihu.com/p/138128187

• 搭个日志收集系统 https://zhuanlan.zhihu.com/p/150076541 思路：Spring-Boot搭建一个系统，使用4560~4563的不同端口收集不同类型的日志发送给logstash；

• Run, Secure, and Deploy Elastic Stack on Docker https://towardsdatascience.com/running-securing-and-deploying-elastic-stack-on-docker-f1a8ebf1dc5b

• ELK ではじめる自宅ネットワーク監視 https://www.slideshare.net/npsg/elk-59004166

  

[rainit2006]

• 使用 Docker 搭建 ELK 环境 https://zhuanlan.zhihu.com/p/138128187

• 搭个日志收集系统 https://zhuanlan.zhihu.com/p/150076541 思路：Spring-Boot搭建一个系统，使用4560~4563的不同端口收集不同类型的日志发送给logstash；

• Run, Secure, and Deploy Elastic Stack on Docker https://towardsdatascience.com/running-securing-and-deploying-elastic-stack-on-docker-f1a8ebf1dc5b