EFK方案从ELK谈起ELK是三个开源软件的缩写，分别表示：Elasticsearch，Logstash，Kibana。新增了一个FlieBeat，它是一个轻量级的日志收集处理工具，FlieBeat占用资源少，适用于在各个服务器上搜集日之后，传输给Logstash。Elasticsearch：开源分布式搜索引擎，提供搜集，分析，缓存数据三大功能，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。Logstash主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收

Elk+Filebeat+Kafka实现日志收集(本机nginx)部署Zookeeper1.实验组件#准备3台服务器做Zookeeper集群20.0.0.1020.0.0.2020.0.0.302.安装前准备#关闭防火墙systemctlstopfirewalldsystemctldisablefirewalldsetenforce0#安装JDKyuminstall-yjava-1.8.0-openjdkjava-1.8.0-openjdk-develjava-version#将apache-zookeeper-3.5.7-bin.tar.gz压缩包上传至/opt目录3.安装Zookeeper

目录1.采集Nginx日志1.1.Nginx日志json格式化1.2.logstash-nginx.yml文件配置1.3.nginx日志查询验证1.3.1.启动服务1.3.3.创建索引模式1.3.4.查询结果展示1.采集Nginx日志1.1.Nginx日志json格式化采集nginx日志的json格式，需要修改nginx日志格式，如下：为便于后期解析日志，建议日志格式按照如下配置，如图：在nginx.conf   里面配置json格式log_formatnginx_jsonescape=json'{"@timestamp":"$time_iso8601",''"server_addr":"$s

一、ES索引的映射和设置1.MAPPING映射(MAPPING)就是es中一个决定了文档如何存储,如何生成索引,字段各种类型定义的过程.类似于我们在关系型数据库中创建一个表格数据之前先定义表格有哪些字段,每个字段是什么类型,然后数据会按照这个配置写入表格,ES中同样是这个过程,它由两种映射组成.一个是动态映射(dynamicmapping)，一个是静态映射(explicitmapping).各自都具备各自的长处和短处,比如动态映射使得我们索引数据的时候很方便,静态映射是当我们想特指一些特殊的,或者需求需要的结构时使用.注意:从7.0开始,es中将逐渐删除type类型的概念,所以和7.0之前的版

事情起因很简单，同事对于我写的一个索引报了如下问题。出于学习目的排查下。 常见的ES集群有三种状态，如下：Green:主/副分片都已经分配好且可用；集群处于最健康的状态100%可用；Yellow:主分片可用，但是副分片不可用。这种情况ES集群所有的主分片都是已经分配好了的，但是至少有一个副本是未分配的。这种情况下数据也是完整的；但是集群的高可用性会被弱化。Red:存在不可用的主分片。此时只是部分数据可以查询，已经影响到了整体的读写，需要重点关注。这种情况ES集群至少一个主分片(以及它的全部副本)都缺失。1、查看集群状态如下图所示分别为green和red的样子。GET/_cluster/heal

ELKStack理论篇之什么是ELKStack?1.1什么是ELKStack？1.2ELKStack的发展史1.2.1Elasticsearch1.2.2引入Logstash和Kibana，产品更强大1.2.3社区越来越壮大，用例越来越丰富1.2.4然后我们向ELK中加入了Beats1.2.5那么，ELK需要怎么变化呢？1.2.6就这样，ElasticStack这个名字应运而生了1.3ElasticStack和ELKStack之间的关系？1.4ELKStack都可以做什么？为我们解决哪些问题？1.4.1搜索领域1.4.2可观测日志领域1.4ELKStack下载地址2.参考资料1.1什么是ELK

使用kubeadm或者其他方式部署一套k8s集群。在k8s集群创建一个namespace：halashow2ELK部署架构3.1准备资源配置清单 Deployment中存在一个es的业务容器，和一个init容器，init容器主要是配置vm.max_map_count=262144。service暴露了9200端口，其他服务可通过servicename加端口访问es。3.1准备资源配置清单 Deployment中存在一个es的业务容器，和一个init容器，init容器主要是配置vm.max_map_count=262144。service暴露了9200端口，其他服务可通过servicename加

1、组件介绍1、Elasticsearch：  是一个基于Lucene的搜索服务器。提供搜集、分析、存储数据三大功能。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。2、Logstash:  主要是用来日志的搜集、分析、过滤日志的工具。用于管理日志和事件的工具，你可以用它去收集日志、转换日志、解析日志并将他们作为数据提供给其它模块调用，例如搜索、存储等。3、Kibana:  是一个优秀

ELK的概论elk是一套完整的日志集中处理方案，有三个开源的软件简称组成：E:ElasticSearchES是一个开源的，分布式存储检索引擎（索引型的非关系型数据库），存储日志。java来发的，基于Lucene结构开发的一套全文检索引擎，拥有一个web接口。用户可以通过浏览器的形式和ES组件进行通信。作用：存储，可以允许全文搜索，结构化搜索（索引点）。索引点可以支持大容量的日志数据。可以支持不同类型的文档。k：Kiabana图形化界面。可以更好的分析存储在ES上的日志数据。提供一个图形化界面，在浏览器ES上的数据。汇总、分析、搜索。l:Logstash数据收集引擎，支持动态的（实时）从各种服务

大致流程：将nginx服务器（web-filebeat）的日志通过filebeat收集之后，存储到缓存服务器kafka，之后logstash到kafka服务器上取出相应日志，经过处理后写入到elasticsearch服务器并在kibana上展示。一、集群环境准备4c/8G/100G10.10.200.33Kafka+ZooKeeper+ES+Filebeat+ES-head4c/8G/100G10.10.200.34Kafka+ZooKeeper+ES+Kibana4c/8G/100G10.10.200.35Kafka+ZooKeeper+ES+Logstash二、搭建zookeeper集群前