一、ELK日志分析系统概述1.1ELK简介ELK是三个开源软件的缩写，分别表示：Elasticsearch,Logstash,Kibana,它们都是开源软件。新增了一个FileBeat，它是一个轻量级的日志收集处理工具(Agent)，Filebeat占用资源少，适合于在各个服务器上搜集日志后传输给Logstash，官方也推荐此工具。Elasticsearch是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。主要负责将日志索引并存储起来，方便业务方检索查询。Logstash

目录一、概述1）Elasticsearch存储2）Filebeat日志数据采集3）Kafka4）Logstash过滤5）Kibana展示filebeat和logstash的关系二、helm3安装ELK1）准备条件2）helm3安装elasticsearch1、自定义values2、开始安装Elasitcsearch3、验证4、清理3）helm3安装Kibana1、自定义values2、开始安装Kibana3、验证4、清理4）helm3安装Filebeat1、自定义values2、开始安装Filefeat3、验证4、清理5）helm3安装Logstash1、自定义values2、开始安装Logs

目录一、概述1）Elasticsearch存储2）Filebeat日志数据采集3）Kafka4）Logstash过滤5）Kibana展示filebeat和logstash的关系二、helm3安装ELK1）准备条件2）helm3安装elasticsearch1、自定义values2、开始安装Elasitcsearch3、验证4、清理3）helm3安装Kibana1、自定义values2、开始安装Kibana3、验证4、清理4）helm3安装Filebeat1、自定义values2、开始安装Filefeat3、验证4、清理5）helm3安装Logstash1、自定义values2、开始安装Logs

前言去年公司由于不断发展，内部自研系统越来越多，所以后来搭建了一个日志收集平台，并将日志收集功能以二方包形式引入自研系统，避免每个自研系统都要建立一套自己的日志模块，节约了开发时间，管理起来也更加容易。这篇文章主要介绍ELK最新版本的搭建，二方包的介绍可以看小霸王的另外一篇文章。ELK介绍Elasticsearch是一个分布式、Restful风格的搜索和数据分析引擎，能够解决不断涌现出的各种用例。作为ElasticStack的核心，Elasticsearch会集中存储您的数据，让您飞快完成搜索，并对数据进行强大的分析。Logstash是免费且开放的服务器端数据处理管道，能够从多个来源采集数据，

前言去年公司由于不断发展，内部自研系统越来越多，所以后来搭建了一个日志收集平台，并将日志收集功能以二方包形式引入自研系统，避免每个自研系统都要建立一套自己的日志模块，节约了开发时间，管理起来也更加容易。这篇文章主要介绍ELK最新版本的搭建，二方包的介绍可以看小霸王的另外一篇文章。ELK介绍Elasticsearch是一个分布式、Restful风格的搜索和数据分析引擎，能够解决不断涌现出的各种用例。作为ElasticStack的核心，Elasticsearch会集中存储您的数据，让您飞快完成搜索，并对数据进行强大的分析。Logstash是免费且开放的服务器端数据处理管道，能够从多个来源采集数据，

有时为了日志解耦，通常不把日志打到文件，而是直接打到kafka，而为了分析日志，我们可以通过sidecar的方式，把日志从kafka写入到es里，而通过kibana对日志进行分析。我的k8s-fluentd的相关文章k8s~部署EFK框架k8s~为服务添加sidecar边斗k8s~fluentd的configmap设置es索引前缀ELK~fluentd多行日志的收集使用docker的镜像lypgcs/fluentd-es-kafka:v1.3.2fluent.conf配置可以添加configMap，扩展性更好，下面说一下配置的含义名称是fluentd-config，内部文件名是fluent.c

有时为了日志解耦，通常不把日志打到文件，而是直接打到kafka，而为了分析日志，我们可以通过sidecar的方式，把日志从kafka写入到es里，而通过kibana对日志进行分析。我的k8s-fluentd的相关文章k8s~部署EFK框架k8s~为服务添加sidecar边斗k8s~fluentd的configmap设置es索引前缀ELK~fluentd多行日志的收集使用docker的镜像lypgcs/fluentd-es-kafka:v1.3.2fluent.conf配置可以添加configMap，扩展性更好，下面说一下配置的含义名称是fluentd-config，内部文件名是fluent.c

ELK基本概述ELK是Elasticsearch、Logstash、Kibana的简称，常常用于部署分布式系统日志服务。Elasticsearch：全球实时全文搜索和分析引擎，提供搜集、分析、存储数据三大功能；是一套开放REST和JAVAAPI等结构提供高效搜索功能，可扩展的分布式系统。它构建于ApacheLucene搜索引擎库之上。Logstash：用来搜集、分析、过滤日志的工具。它支持几乎任何类型的日志，包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志，这些来源包括syslog、消息传递（例如RabbitMQ）和JMX，它能够以多种方式输出数据，包括电子邮件、webso

ELK基本概述ELK是Elasticsearch、Logstash、Kibana的简称，常常用于部署分布式系统日志服务。Elasticsearch：全球实时全文搜索和分析引擎，提供搜集、分析、存储数据三大功能；是一套开放REST和JAVAAPI等结构提供高效搜索功能，可扩展的分布式系统。它构建于ApacheLucene搜索引擎库之上。Logstash：用来搜集、分析、过滤日志的工具。它支持几乎任何类型的日志，包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志，这些来源包括syslog、消息传递（例如RabbitMQ）和JMX，它能够以多种方式输出数据，包括电子邮件、webso

一、简介ELK日志我们一般都是按天存储，例如索引名为"kafkalog-2022-04-05"，因为日志量所占的存储是非常大的，我们不能一直保存，而是要定期清理旧的，这里就以保留7天日志为例。自动清理7天以前的日志可以用定时任务的方式，这样就需要加入多一个定时任务，可能不同服务记录的索引名又不一样，这样用定时任务配还是没那么方便。ES给我们提供了一个索引的生命周期策略（lifecycle），就可以对索引指定删除时间，能很好解决这个问题。 索引生命周期分为四个阶段：HOT(热)=>WARM(温）=》COLD(冷)=>DELETE(删除)二、给索引设生命周期策略（ILM）1.配置生命周期策略(po