ELK 由三部分组成elasticsearch、logstash、kibana，一个一个的啃过去。在安装elasticsearch之前，首先来看看elasticsearch几个至关重要的术语。 NRT elastic……

前提 1、有强烈的审计需求。 2、能允许10%-15%左右的性能损失。 3、有强烈的对数据库操作实时查看需求(一般都是为了领导要求)。 Logstash 比较坑的配置 inpu……

上一篇是处理MySQL的慢查询日志的，其实，ELK内容就这么多，很有规律的说，一通百通，通一反万。下面说说对mongodb日志处理。 不同mongodb版本的日志格式不同……

在生产环境下，logstash 经常会遇到处理多种格式的日志，不同的日志格式，解析方法不同。下面来说说logstash处理多行日志的例子，对MySQL慢查询日志进行分析……

有些日志是分多行输出的，为了能正确的处理这些多行的事件，logstash必须哪些行是单一事件的一部分。多行事件处理是比较复杂的，需依赖正确的事件顺序。最佳……

数据类型 logstash支持的数据类型有： array 数组可以是单个或者多个字符串值。 path => [ "/var/log/messages", "/var/log/*.log" ] path => "/data/……

logstash处理事件有三个阶段：input ---> filter ---> output。input产生事件，filter 对事件进行修改，output输出到其它地方。input和output支持解码……

在命令行中指定-e参数，从标准输入到标准输出，并格式化结果。 # /opt/logstash/bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}' www……

将从logstash1.5版本升级到2.1版本，以及将《ELK部署指南》中使用的logstash-forwarder转移到Filebeat上。 升级步骤 停止logstash以及发送到logstash的所有……

logstash是ELK重要组成部分，日志进一步的处理差不多都需要经过logstash来完成的，除非自己开发beats将数据处理好直接写入到elasticsearch中。 APT源 # wge……