ELK
一、ELK介绍
😄
“ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。
简单来说,E就是用来做内容检索,L用来做日志文本处理,K用来做图形化展示。
二、ELK应用场景
😄
1、应急响应,日志分析(咱们主要用来做这个)
2、微服务架构项目,收集各个服务的日志。
3、分布式部署项目,需要收集日志。
三、ELK搭建
😄
1、我们使用dokcer搭建比较方便(docker环境自行搭建)
2、下载ELK环境(https://github.com/deviantony/docker-elk)
3、进入ELK目录,运行docker-compose up -d
4、运行docker ps -a 查看ELK是否运行成功(运行成功是启3个服务,STATUS状态都为UP即可,注意以下服务的几个端口不要被占用)
5、打开浏览器,访问127.0.0.1:9200,默认账号为elastic,密码为changeme
6、访问127.0.0.1:5601,账号密码如图,注意内存必须4G以上,否则访问页面会崩,如果看到这恭喜你ELK已经搭建成功!!!
四、ELK简单使用
😄
1、登录成功后,点击upload a file可上传一个日志文件(以下使用一个web日志来做演示)
2、直接将文本文件拖入即可
3、等待上传完成后点击导入,文件名字随便取,导入并等待
4、滚动条往下拖,点击View index in Discover
5、页面功能介绍
6、点击左边的字段名后面的+,可将该字段的内容添加到右边的展示列表中(常用字段名介绍 Time:时间,agent:浏览器操作系统版本信息,bytes:字节数,clientip:请求IP,message:完整信息,request:请求url,response:响应状态码,verb:请求方式)添加完成后,列表如下图所示
7、通过检索对列表进行查找,可以直接输入想查找的内容进行查询或者通过某个字段进行查找
8、通过过滤进行检索,在鼠标指到列表中的某个内容时后面会出现一个加号,点击添加会直接进行检索
五、总结
😄
总体来说,如果大家要去做应急响应或者日志分析时可以使用ELK,将想要分析的文本上传上去,可以快速检索到大家想要的内容,找到问题所在,其他功能大家自己可以继续摸索。
