ELK 简介

ELK（Elasticsearch, Logstash, Kibana）是一个目前主流的开源日志监控平台。由三个主要组件组成的：

Elasticsearch： 是一个开源的分布式搜索和分析引擎，可以用于全文检索、结构化检索和分析，它构建在Lucene搜索引擎库之上，是当前使用较为广泛的开源搜索引擎之一。
Logstash： 一个用于收集、处理和转发日志数据的数据处理管道。Logstash可以从不同的日志源（如文件、应用程序日志、数据库等）中收集日志数据，并对其进行过滤、解析和转换，然后将其发送到Elasticsearch中进行存储和索引。
Kibana： 一个用于可视化和分析存储在Elasticsearch中的日志数据的用户界面。Kibana提供了一个直观且功能强大的仪表盘，可以根据特定需求创建各种图表、表格和地图，并进行实时数据可视化和监控。

安装Elasticsearch和Kibana

参考我之前写的博客

安装 Logstash

官方下载地址：https://www.elastic.co/cn/downloads/past-releases#logstash
与 Elasticsearch 一致

进入bin 目录，输入logstash.bat -e "input { stdin {} } output { stdout {} }"启动。

日志收集DEMO

创建SpringBoot应用

依赖导入

    <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId></dependency></dependencies>

日志配置文件 logback.xml

<?xml version="1.0" encoding="UTF-8"?>
<configuration><!-- 日志存放路径 --><property name="log.path" value="./logs"/><!-- 日志输出格式 --><property name="log.pattern" value="%d{HH:mm:ss.SSS} [%thread] %-5level %logger{20} - [%method,%line] - %msg%n"/><!-- 控制台输出 --><appender name="console" class="ch.qos.logback.core.ConsoleAppender"><encoder><pattern>${log.pattern}</pattern></encoder></appender><!-- 系统日志输出 --><appender name="file_info" class="ch.qos.logback.core.rolling.RollingFileAppender"><file>${log.path}/sys-info.log</file><!-- 循环政策：基于时间创建日志文件 --><rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"><!-- 日志文件名格式 --><fileNamePattern>${log.path}/sys-info.%d{yyyy-MM-dd}.log</fileNamePattern><!-- 日志最大的历史 60天 --><maxHistory>60</maxHistory></rollingPolicy><encoder><pattern>${log.pattern}</pattern></encoder><!-- 是否在当天日志滚动时，对当天日志进行改名 --><timeBasedFileNamingAndTriggeringPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedFNATP"><maxFileSize>100MB</maxFileSize></timeBasedFileNamingAndTriggeringPolicy><filter class="ch.qos.logback.classic.filter.LevelFilter"><!-- 过滤的级别 --><level>INFO</level><!-- 匹配时的操作：接收（记录） --><onMatch>ACCEPT</onMatch><!-- 不匹配时的操作：拒绝（不记录） --><onMismatch>DENY</onMismatch></filter></appender><!-- 系统错误日志输出 --><appender name="file_error" class="ch.qos.logback.core.rolling.RollingFileAppender"><file>${log.path}/sys-error.log</file><!-- 循环政策：基于时间创建日志文件 --><rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"><!-- 日志文件名格式 --><fileNamePattern>${log.path}/sys-error.%d{yyyy-MM-dd}.log</fileNamePattern><!-- 日志最大的历史 60天 --><maxHistory>60</maxHistory></rollingPolicy><encoder><pattern>${log.pattern}</pattern></encoder><!-- 是否在当天日志滚动时，对当天日志进行改名 --><timeBasedFileNamingAndTriggeringPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedFNATP"><maxFileSize>100MB</maxFileSize></timeBasedFileNamingAndTriggeringPolicy><filter class="ch.qos.logback.classic.filter.LevelFilter"><!-- 过滤的级别 --><level>ERROR</level><!-- 匹配时的操作：接收（记录） --><onMatch>ACCEPT</onMatch><!-- 不匹配时的操作：拒绝（不记录） --><onMismatch>DENY</onMismatch></filter></appender><!-- 用户访问日志输出  --><appender name="sys-user" class="ch.qos.logback.core.rolling.RollingFileAppender"><file>${log.path}/sys-user.log</file><rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"><!-- 按天回滚 daily --><fileNamePattern>${log.path}/sys-user.%d{yyyy-MM-dd}.log</fileNamePattern><!-- 日志最大的历史 60天 --><maxHistory>60</maxHistory></rollingPolicy><encoder><pattern>${log.pattern}</pattern></encoder></appender><!-- 系统模块日志级别控制  --><logger name="com.project" level="info"/><!-- Spring日志级别控制  --><logger name="org.springframework" level="warn"/><root level="info"><appender-ref ref="console"/></root><!--系统操作日志--><root level="info"><appender-ref ref="file_info"/></root><root level="info"><appender-ref ref="file_error"/></root><!--系统用户操作日志--><logger name="sys-user" level="info"><appender-ref ref="sys-user"/></logger>
</configuration> 

创建Logstash配置文件

进入Logstash的config目录，创建一个名为 logstash.conf文件，并进行如下配置

input {#监控所有服务的error.log文件file {path => "F:/twj/mygitee/project/logs/sys-error.log"start_position => "beginning"sincedb_path => "E:/logstash-8.17.3/sincedb_error_file"codec => "plain"type => "error"}#监控所有服务的user.log文件file {path => "F:/twj/mygitee/project/logs/sys-user.log"start_position => "beginning"sincedb_path => "E:/logstash-8.17.3/sincedb_user_file"codec => "plain"type => "info"}}filter {# 使用 grok 解析日志内容grok {match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:loglevel} %{DATA:thread} --- \[%{DATA:logger}\] \: %{GREEDYDATA:message}" }}# 如果需要从文件路径中提取服务名grok {match => { "path" => "logs/(?<service_name>[^/]+)/.*" }}# 时间字段转换为标准的时间格式date {match => [ "timestamp", "ISO8601" ]}# 过滤掉低于 ERROR 的日志（只保留 ERROR 日志）# if [loglevel] == "ERROR" {#   mutate {#     add_field => { "is_error_log" => "true" }#   }# }
}output {# 将 error 日志发送到 Elasticsearchif [type] == "error" {elasticsearch {hosts => ["http://localhost:9201"]index => "sys-error.log-%{+YYYY.MM.dd}"user => "elastic"password => "qD+=4WRHuM7JgmJVo-ZD"}}# 将 user 日志发送到 Elasticsearchif [type] == "info" {elasticsearch {hosts => ["http://localhost:9201"]index => "sys-user.log-%{+YYYY.MM.dd}"user => "elastic"password => "qD+=4WRHuM7JgmJVo-ZD"}}# 可选：你也可以将日志输出到文件（调试用）# file {#   path => "C:/path/to/output/logstash_output.json"# }
}

input部分： 定义了日志输入来源及其处理方式。配置中有两个 file 输入插件，用于读取不同的日志文件，*表示匹配该目录下的所有文件

• path => “E:/work/sinosoft/logs/*/debug.log”: 这个配置指向所有子目录中的 debug.log 文件。
• start_position => “beginning”: 从文件的开始位置开始读取。如果是首次读取，它会从文件开头读取。
• sincedb_path => “E:/soft/ELK/logstash_sincedb/sincedb_debug_file”: sincedb 文件用于记录 Logstash 已经处理过的文件位置，确保在 Logstash 重启时能够继续读取未处理的日志。
• codec => “plain”: 指定使用 plain 编解码器，即不对日志内容做任何特殊编码。
• type => “debug”: 设置事件类型为 debug，用于后续在输出部分区分 debug 和 error 类型的日志。

filter部分： 用于对输入的日志数据进行解析和处理。

使用grok解析日志内容

• 使用 grok 解析日志中的 message 字段，匹配日志的标准模式（例如时间戳、日志级别、线程、日志记录器、实际日志消息等）。

该表达式将日志分解为以下字段：

timestamp: 时间戳
loglevel: 日志级别（例如 INFO, ERROR 等）
thread: 线程名
logger: 日志记录器名
message: 实际的日志消息内容

• 从日志的文件路径中提取服务名称，正则表达式 (?<service_name>[^/]+)/.* 会从路径
  logs/{service_name}/ 中提取 service_name 字段。
• 将 timestamp 字段的时间格式转换为标准的时间格式（ISO8601），这样可以确保时间字段在 Elasticsearch
  中存储为正确的时间戳格式。
• 过滤低于ERROR的日志，如果日志级别是 ERROR，则通过 mutate 插件给事件添加一个 is_error_log 字段，值为
  true，用于标识该事件是一个错误日志

output部分： 定义了日志最终的输出目标。

• 输出debug类型的日志到Elasticsearch

• 只有当事件的 type 字段为 debug 时，日志才会被发送到 Elasticsearch。

  hosts => [“http://localhost:9201”]: Elasticsearch 的地址。

  index => “sys-error.log-%{+YYYY.MM.dd}”: 日志会被索引到 sys-error.log-YYYY.MM.dd 这样的索引中，其中 %{+YYYY.MM.dd} 会自动替换为日志事件的年月（例如 2025.03.01）。

  user => “elastic”: Elasticsearch 用户名（一般为 elastic）。并且按日或按周等创建索引，将%{+YYYY.MM.dd}里面的+YYYY.MM.dd替换成其他便可。

• 输出error类型的日志到Elasticsearch

• 只有当事件的 type 字段为 error 时，日志才会被发送到 Elasticsearch。

• index => “sys-error.log-%{+YYYY.MM.dd}”: 错误日志会被索引到
  sys-error.log-YYYY.MM.dd 这样的索引中。

调试用的文件输出，index => “sys-error.log-%{+YYYY.MM.dd}”: 错误日志会被索引到 sys-error.log-YYYY.MM.dd 这样的索引中。（可选）

索引创建频率：

根据配置，索引的创建是按月进行的。具体来说，索引名称为 sys-error.log-%{+YYYY.MM} 和 sys-error.log-%{+YYYY.MM}，其中 %{+YYYY.MM} 会被替换为事件的年和月，因此每个月会自动创建一个新的索引。

例如，2025年3月1日的 debug 日志会被索引到 sys-user.log-2025.03.01，错误日志则会被索引到 sys-error.log-2025.03.01。

总结：

输入： 从多个文件中读取 debug.log 和 error.log，并根据文件路径设置不同的类型 (debug 和 error)。
过滤： 使用 grok 解析日志，提取必要的字段，并转换时间格式。只保留 ERROR 级别的日志。
输出： 根据日志类型，分别将 debug 和error 日志输出到不同的 Elasticsearch 索引中，索引按月创建。

这样配置的目的是将 debug 和 error 日志分开存储，便于查询和分析，并且确保日志的时间信息被标准化处理。

启动logstash

在将logstash.conf文件配置好并保存后，win+r打开终端（或者以管理员的方式），cd到bin目录下

输入命令：logstash.bat -f …/logstash-8.17.3/config/logstash.conf，启动logstash并且使用logstash.conf配置文件

启动成功后，logstash已经将配置文件中配置的将对应目录下的日志文件读入es中

配置kibana

1、选择Management

2、选择数据视图

3、创建数据视图

4、配置信息填写

日志查看

1、点击Discover

2、选择相应要查看的数据视图