一、ELK简介

 1.概述

日志分析是运维工程师解决系统故障,发现问题的主要手段。日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因,经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。日志是一个非常庞大的数据,并且常常被分散在不同的设备上,这样排查问题的时候找日志就非常繁琐困难。这时,一个专门处理日志的系统就非常必要,这里介绍其中的一种,ELK日志分析系统(ELasticsearch+Logstash+Kibana)

ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。

Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。主要负责将日志索引并存储起来,方便业务方检索查询。

Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。是一个日志收集、过滤、转发的中间件,主要负责将各条业务线的各类日志统一收集、过滤后,转发给 Elasticsearch 进行下一步处理。

  logstash架构:

ELK简介及其配置和常规用法_elasticsearch

· input:设置数据来源。

· filter:可以对数据进行一定的加工处理过滤,可以做复杂的处理逻辑。这个步骤不是必须的。

· output:设置输出目标,如elasticSearch等。

Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。

Filebeat隶属于Beats。目前Beats包含四种工具:

ELK简介及其配置和常规用法_apache_02

Packetbeat (搜集网络流量数据)

Topbeat   (搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据)

Filebeat   (搜集文件数据)

Winlogbeat(搜集 Windows 事件日志数据)

 2. 日志处理步骤

【APPServer集群】→→【logstash Agent 采集器】→→【ElasticSearch Cluster】→→【Kibana Server】→→【Browser】

Logstash收集AppServer产生的Log,并存放到ElasticSearch集群中,而Kibana则从ES集群中查询数据生成图表,再返回给Browser。简单来说,进行日志处理分析,一般需要经过以下几个步骤:

1. 将日志进行集中化管理(beats)

beats包含四种工具:

Packetbeat(搜集网络流量数据)

Topbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据)

???Filebeat(搜集文件数据)轻量级的工具(相较于logstash)

Winlogbeat(搜集 Windows 事件日志数据)

2. 将日志格式化(logstash)

3. 对格式化后的数据进行索引和存储(elasticsearch)

4. 前端数据的展示(kibana)

ELK简介及其配置和常规用法_apache_03

二、Elasticsearch的介绍(*******)

   提供了一个分布式多用户能力的全文搜索引擎

Elasticsearch的核心

1、接近实时(NRT)

 Elasticsearch是一个接近实时的搜索平台,这意味着,从索引一个文档直到这个文档能够被搜索到有一个轻微的延迟(通常是1秒)

2、集群(cluster)

 一个集群就是由一个或者多个节点组织在一起,它们共同持有你整个的数据,并一起提供索引和搜索功能。其中一个为主节点,这个主节点是可以通过选举产生的,并提供跨节点的联合索引和搜索功能。

 集群有一个唯一性标示的名字,默认是Elasticsearch,集群的名字很重要,每个节点是基于集群名字加入到集群中的。因此,确保在不同的环境中使用不同的集群名字。

 一个集群可以只有一个节点,建议在配置Elasticsearch时,配置成集群模式。

 Elasticsearch具有集群机制,节点通过集群名称加入到集群中,同时在集群中的节点会有一个自己唯一的身份标识(自己的名称)

3、节点(node)

 节点就是一台单一的服务器,是集群的一部分,存储数据并参与集群的索引和搜索功能。像集群一样,节点也是通过名字来标识,默认是在节点启动时随机分配的字符名。也可自己定义,名字很重要,在集群中用于识别服务器对应的节点

 节点可以通过指定集群名字来加入到集群中。默认情况下,每个节点被设置成加入到Elasticsearch集群。如果启动了多个节点,假设能自动发现对方,他们将会自动组建一个名为Elasticsearch的集群。

4、索引(index)

 一个索引就是一个拥有几分相似特征的文档的集合。

 一个索引由一个名字来标识(必须全部是小写字母),并且当我们要对对应于这个索引中的文档进行索引、搜索、更新和删除的时候。都要使用到这个名字。在一个集群中,可以定义任意多的索引。

5、类型(type)

 在一个索引中,你可以定义一种或多种类型。一个类型是你的索引的一个逻辑上的分类/分区,其语义完全由你来定。

 通常会为具有一组共同字段的文档定义一个类型。

6、文档(document)

 一个文档是一个可被索引的基础信息单元

 在一个index/type里面,只要你想,你可以存储任意多的文档。注意,虽然一个文档在物理上位于一个索引中,实际上一个文档必须在一个索引内被索引和分配一个类型

7、分片和副本(shards & replicas)也是es作为搜索引擎比较快的原因

 实际情况下,索引存储的数据可能超过单个节点的硬件限制。为了解决这个问题,Elasticsearch提供将索引分成多个分片的功能。当在创建索引时,可以定义想要的分片数量。每一个分片就是一个全功能的独立的索引,可以位于集群中任何节点上。

分片的主要原因:

水平分割扩展,增大存储量

分布式并跨越分片操作,提高性能和吞吐量

 分布式分片机制和搜索请求的文档如何火鬃完全是由Elasticsearch控制的,这些对用户是完全透明的。

 为了健壮性,建议有一个故障切换机制,为此,Elasticsearch让我们将索引分片复制一份或多份,称之为分片副本

分片副本的原因:

高可用性,以应对分片或者节点故障。处于这个原因,分片副本要在不同的节点上

增大吞吐量,搜索可以并行在所有副本上执行

 总之,每个索引可以被分成多个分片。一个索引可以被复制0次或者多次。一旦复制了,每个索引就有了主分片 (作为复制源的原来的分片)和复制分片(主分片的拷贝)之别。分片和副本的数量可以在索引创建的时候指定。在索引创建之后,你可以在指定任何时候动态的改变副本的数量,但是你事后不能改变分片的数量。

 默认情况下,Elasticsearch中的每个索引被分片5个主分片和1个副本,这意味着,如果你的集群中至少有两个节点,你的索引将会有5个主分片和另外的5个副本分片(一个完全拷贝),这样的话每个索引总共有10个分片。

 8、相关概念在关系型数据库和ElasticSearch中的对应关系

ELK简介及其配置和常规用法_数据_04

三、Logstash

1、Logstash简介

 Logstash由JRuby语言编写,基于消息(message-based)的简单架构,并运行在java虚拟机(JVM)上。不同于分离的代理端(agent)或主机端(server),Logstash可配置单一的代理端与其他开源软件结合,以实现不同的功能

  是一款强大的数据处理工具、

  可实现数据传输,格式处理,格式化输出

  数据输入、数据加工(如过滤,改写等)以及数据输出

 

 常用插件:

input:收集源数据(访问日志、错误日志等)

Filter Plugin:用于过滤日志和格式处理

Output:输出日志

 主要组件:

Shipper(日志收集):负责监控本地日志文件的变化,及时把日志文件的最新内容收集起来。通常,远程代理端(agent)只需要运行这个组件即可

Indexer(日志存储):负责接收日志并写入到本地文件

Broker(日志Hub):负责连接多个Shipper和多个Indexer

Search and Storage:允许对事件进行搜索和存储

Web Interface:基于Web的展示界面

2、Logstash主机分类

【1】代理主机(agent host):作为事件的传递者(Shipper),将各种日志数据发送至中心主机,只需运行Logstash代理程序

【2】中心主机(central host):可运行包括中间转发器(Broker)、索引器(Indexer)、搜索和存储器(Search and Storage)、Web界面端(Web Interface)在内的各个组件,以实现对日志数据的接收、处理和存储

 

四、Kibana

 Kibana 是用于在 Elasticsearch 中可视化数据的强大工具,可通过基于浏览器的界面轻松搜索,可视化和探索大量数据。

一个针对Elasticsearch的开源分析及可视化平台

搜索、查看存储在Elasticsearch索引中的数据

通过各种图表进行高级数据分析及展示

 

Kibana主要功能:

Elasticsearch无缝之集成。

Kibana架构为Elasticsearch定制,可以将任何结构化和非结构化数据加入Elasticsearch索引。Kibana还充分利用了Elasticsearch强大的搜索和分析功能。

整合数据。

Kibana能够更好地处理海量数据,并据此创建柱形图、折线图、散点图、直方图、饼图和地图。

复杂数据分析。

Kibana提升了Elasticsearch分析能力,能够更加智能地分析数据,执行数学转换并且根据要求对数据切割分块。

让更多团队成员收益。

强大的数据库可视化接口让各业务岗位都能够从数据集合受益。

接口灵活,分享更容易

使用Kibana可以更加方便地创建、保存、分享数据,并将可视化数据快速交流。

配置简单。

Kibana的配置和启用非常简单,用户体验非常友好。Kibana自带Web服务器,可以快速启动运行。

可视化多数据源。

Kibana可以非常方便地把来自Logstash、ES-Hadoop、Beats或第三方技术的数据整合到Elasticsearch,支持的第三方技术包括Apache flume、 Fluentd 等。

简单数据导出。

Kibana可以方便地导出感兴趣的数据,与其它数据集合并融合后快速建模分析,发现新结果。

 

五、ELK案例部署

案例环境

一台主机部署Apache服务,并部署logstash收
一台主机部署elasticsearch和kibana
另一台部署elasticsearch
两台elasticsearch构成ELS群集

Win宿主机作为试验机

内存大点儿(4G+)

主机   IP地址              安装包 / 软件 / 工具

node1     192.168.126.40   Elasticsearch 、 kibana

node2     192.168.126.60   Elasticsearch

http     192.168.126.70   httpd / Logstash

Windows

 

1、配置基础环境

systemctl stop firewalld.service

setenforce 0

ELK简介及其配置和常规用法_apache_05

#配置java环境(三台都要)

先查看java版本

java -version

ELK简介及其配置和常规用法_数据_06

jdk-8u91-linux-x64.tar.gz放到/opt内

cd /opt/

cp jdk-8u91-linux-x64.tar.gz /usr/local/

cd /usr/local/

tar zxvf jdk-8u91-linux-x64.tar.gz

 

cd /usr/local/ && mv jdk1.8.0_91 jdk

 

vim /etc/profile

export JAVA_HOME=/usr/local/jdk

export JRE_HOME=${JAVA_HOME}/jre

export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib

export PATH=${JAVA_HOME}/bin:$PATH

 

source /etc/profile

 

修改主机名

#node1改名(192.168.126.40)

hostnamectl set-hostname node1

su -

ELK简介及其配置和常规用法_apache_07

#node2改名(192.168.126.60)

hostnamectl set-hostname node2

su -

ELK简介及其配置和常规用法_elasticsearch_08

#http改名(192.168.126.70)

hostnamectl set-hostname httpd

su -

ELK简介及其配置和常规用法_数据_09

#配置域名解析

echo '192.168.126.40 node1' >> /etc/hosts

echo '192.168.126.70 node2' >> /etc/hosts

ELK简介及其配置和常规用法_apache_10

1、部署Elasticsearch(node1和node2)

ELK简介及其配置和常规用法_elasticsearch_11

#安装elasticsearch包

rpm -ivh elasticsearch-5.5.0.rpm

#加载系统服务

systemctl daemon-reload

systemctl enable elasticsearch.service

ELK简介及其配置和常规用法_apache_12

#更改主配置文件

cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak

vim /etc/elasticsearch/elasticsearch.yml

#17行(修改集群名字)

cluster.name: my-elk-cluster

#23行(修改节点名字)

node.name: node1

#33行;(修改数据存放路径)

path.data: /data/elk_data

#37行(修改日志存放路径)

path.logs: /var/log/elasticsearch

#43行(不在启动的时候锁定内存)

bootstrap.memory_lock: false

#55行

network.host: 0.0.0.0

#59行(侦听端口为9200)

http.port: 9200

#68行(指定要发现的节点 node1、node2)

discovery.zen.ping.unicast.hosts: ["node1", "node2"]

ELK简介及其配置和常规用法_数据_13

ELK简介及其配置和常规用法_elasticsearch_14

ELK简介及其配置和常规用法_数据_15

grep -v "^#" /etc/elasticsearch/elasticsearch.yml

ELK简介及其配置和常规用法_elasticsearch_16

#创建数据存放路径并授权

mkdir -p /data/elk_data

chown elasticsearch:elasticsearch /data/elk_data/

 

#启动elasticsearch是否开启成功时间比较长,需耐心等待

systemctl start elasticsearch

netstat -antp |grep 9200

ELK简介及其配置和常规用法_数据_17

#查看节点信息和集群健康状态(使用windos浏览器)

http://192.168.126.40:9200

http://192.168.126.60:9200

http://192.168.126.40:9200/_cluster/health?pretty

http://192.168.126.60:9200/_cluster/health?pretty

ELK简介及其配置和常规用法_数据_18

ELK简介及其配置和常规用法_apache_19

ELK简介及其配置和常规用法_elasticsearch_20

ELK简介及其配置和常规用法_数据_21

打开 http://192.168.126.40:9200/_cluster/state?pretty   ###检查群集状态信息

ELK简介及其配置和常规用法_apache_22

安装elasticsearch-head插件(node1 和node2)

上述查看集群的方式,及其不方便,我们可以通过安装elasticsearch-head插件后,来管理集群

上传node-v8.2.1.tar.gz到/opt

yum install gcc gcc-c++ make -y

 

###编译安装node组件依赖包##耗时比较长 47分钟

cd /opt

tar xzvf node-v8.2.1.tar.gz

cd node-v8.2.1/

 ./configure

make -j3

make install

 

####安装phantomjs####前端框架

上传软件包到/usr/local/src/

[root@localhost node-v8.2.1]# cd /usr/local/src/

[root@localhost src]# tar xjvf phantomjs-2.1.1-linux-x86_64.tar.bz2

[root@localhost src]# cd phantomjs-2.1.1-linux-x86_64/bin

[root@localhost bin]# cp phantomjs /usr/local/bin

 ###安装elasticsearch-head###数据可视化工具

[root@localhost bin]# cd /usr/local/src/

[root@localhost src]# tar xzvf elasticsearch-head.tar.gz

[root@localhost src]# cd elasticsearch-head/

[root@localhost elasticsearch-head]# npm install

 

#####修改主配置文件###

[root@localhost ~]# cd ~

[root@localhost ~]# vi /etc/elasticsearch/elasticsearch.yml   ####下面配置文件,插末尾##

http.cors.enabled: true   ##开启跨域访问支持,默认为false

http.cors.allow-origin: "*"  ## 跨域访问允许的域名地址

[root@localhost ~]# systemctl restart elasticsearch

ELK简介及其配置和常规用法_elasticsearch_23

####启动elasticsearch-head  启动服务器####

[root@localhost ~]# cd /usr/local/src/elasticsearch-head/

[root@localhost elasticsearch-head]# npm run start &      ####切换到后台运行

ELK简介及其配置和常规用法_数据_24

[root@localhost elasticsearch-head]# netstat -lnupt |grep 9100   

[root@localhost elasticsearch-head]# netstat -lnupt |grep 9200

ELK简介及其配置和常规用法_数据_25

真机上打开浏览器输入http://192.168.226.128:9100/   可以看见群集很健康是绿色

在Elasticsearch 后面的栏目中输入http://192.168.226.128:9200   

ELK简介及其配置和常规用法_elasticsearch_26

es

索引(库)——》 类型(表)——》 文档(字段)

 

登录192.168.126.40 node1主机

创建索引为index-demo,类型为test,

(面试问题:怎么在命令行创建索引,有没有在命令行写过创建索引的代码)

curl -XPUT

[root@node1 ~]# curl -XPUT 'localhost:9200/index-demo/test/1?pretty&pretty' -H 'content-Type: application/json' -d '{"user":"zhangsan","mesg":"hello world"}'

ELK简介及其配置和常规用法_apache_27

宿主机打开浏览器输入http://192.168.126.40:9100/ 查看索引信息

ELK简介及其配置和常规用法_数据_28

●上面图可以看见索引默认被分片5个,并且有一个副本

点击数据浏览--会发现在node1上创建的索引为index-demo,类型为test, 相关的信息

ELK简介及其配置和常规用法_apache_29

ELK简介及其配置和常规用法_elasticsearch_30


ELK简介及其配置和常规用法_数据_31


【安装logstash并做一些日志搜集输出到elasticsearch中】

登录主机192.168.126.70

关闭防火墙关闭核心防护

 

1、更改主机名

hostnamectl set-hostname httpd

ELK简介及其配置和常规用法_elasticsearch_32

2、安装Apahce服务(httpd)

[root@apache ~]# yum -y install httpd

[root@apache ~]# systemctl start httpd

3、安装Java环境

[root@apache ~]# java -version        ###如果没有装 安装yum -y install java

openjdk version "1.8.0_181"

OpenJDK Runtime Environment (build 1.8.0_181-b13)

OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)

 

4、安装logstash

上传logstash-5.5.1.rpm到/opt目录下

[root@apache ~]# cd /opt

[root@apache opt]# rpm -ivh logstash-5.5.1.rpm                 ##安装logstash

[root@apache opt]# systemctl start logstash.service              ##启动logstash

[root@apache opt]# systemctl enable logstash.service

[root@apache opt]# ln -s /usr/share/logstash/bin/logstash /usr/local/bin/##建立logstash软连接

ELK简介及其配置和常规用法_elasticsearch_33

5、logstash(Apache)与elasticsearch(node)功能是否正常,做对接测试

  logstash -e 'input { stdin{} } output { stdout{} }'

Logstash这个命令测试字段描述解释:

● -f  通过这个选项可以指定logstash的配置文件,根据配置文件配置logstash

● -e  后面跟着字符串 该字符串可以被当做logstash的配置(如果是” ”,则默认使用stdin做为输入、stdout作为输出)

● -t  测试配置文件是否正确,然后退出

 ELK简介及其配置和常规用法_apache_34

[root@httpd opt]# logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.126.40:9200"] } }'

ELK简介及其配置和常规用法_apache_35

ELK简介及其配置和常规用法_apache_36

ELK简介及其配置和常规用法_elasticsearch_37

ELK简介及其配置和常规用法_数据_38

5、使用rubydebug显示详细输出,codec为一种编解码器

[root@httpd opt]# logstash -e 'input { stdin{} } output { stdout{ codec=>rubydebug } }'

ELK简介及其配置和常规用法_数据_39

使用logstash将信息写入elasticsearch中####   输入 输出 对接

[root@apache opt]# logstash -e 'input { stdin{} } output { elasticsearch { hosts=>["192.168.126.60:9200"] } }'

。。。。。。。。省略。。。。。。。

The stdin plugin is now waiting for input:

10:40:06.558 [Api Webserver] INFO  logstash.agent - Successfully started Logstash API endpoint {:port=>9600}

www.sina.com.cn                   ###输入内容

www.google.com.cn                ###输入内容

 

8、登录宿主机

打开浏览器 输入http://192.168.126.60:9100/ 查看索引信息###

多出 logstash-2022.04.26

 

点击数浏览查看响应的内容

ELK简介及其配置和常规用法_数据_40

ELK简介及其配置和常规用法_数据_41

【登录192.168.126.70 Apache主机 做对接配置】

###logstash配置文件###

Logstash配置文件主要由三部分组成:input、output、filter(根据需要)

 

[root@apache opt]# chmod o+r /var/log/messages

[root@apache opt]# ll /var/log/messages

-rw----r--. 1 root root 572555 4月  16 23:50 /var/log/messages

ELK简介及其配置和常规用法_数据_42

#配置文件中定义的是收集系统日志(system)

[root@apache opt]# vim /etc/logstash/conf.d/system.conf

input {

       file{

        path => "/var/log/messages"

        type => "system"

        start_position => "beginning"

        }

      }

output {

        elasticsearch {

          hosts => ["192.168.126.40:9200"]

          index => "system-%{+YYYY.MM.dd}"

          }

        }

ELK简介及其配置和常规用法_elasticsearch_43

[root@apache opt]# systemctl restart logstash.service

 

 

登录192.168.100.1 真机

打开浏览器 输入http://192.168.126.40:9100/ 查看索引信息###

多出 system-2022.04.26

ELK简介及其配置和常规用法_elasticsearch_44

ELK简介及其配置和常规用法_apache_45

###登录192.168.126.40 node1主机###

 

##在node1主机安装kibana##

上传kibana-5.5.1-x86_64.rpm 到/usr/local/src目录

[root@node1 ~]# cd /usr/local/src/

[root@node1 src]# rpm -ivh kibana-5.5.1-x86_64.rpm

[root@node1 src]# cd /etc/kibana/

[root@node1 kibana]# cp kibana.yml kibana.yml.bak

ELK简介及其配置和常规用法_elasticsearch_46

[root@node1 kibana]# vim kibana.yml

2/ server.port: 5601                #### kibana打开的端口

7/ server.host: "0.0.0.0"           ####kibana侦听的地址

21/ elasticsearch.url: "http://192.168.226.128:9200"             ###和elasticsearch建立联系

30/ kibana.index: ".kibana"              ####在elasticsearch中添加.kibana索引

[root@node1 kibana]# systemctl start kibana.service    ###启动kibana服务

[root@node1 kibana]# systemctl enable kibana.service   ###开机启动kibana服务

ELK简介及其配置和常规用法_数据_47

ELK简介及其配置和常规用法_elasticsearch_48

ELK简介及其配置和常规用法_apache_49

####登录宿主机机###

使用浏览器输入192.168.126.40:5601

ELK简介及其配置和常规用法_数据_50

首次登录创建一个索引 名字:system-*  ##这是对接系统日志文件

Index name or pattern   ###下面输入system-*

然后点最下面的出面的create 按钮创建

ELK简介及其配置和常规用法_数据_51

然后点最左上角的Discover按钮  会发现system-*信息

ELK简介及其配置和常规用法_elasticsearch_52

然后点下面的host旁边的add  会发现右面的图只有 Time  和host 选项了 这个比较友好

ELK简介及其配置和常规用法_elasticsearch_53

#####对接Apache主机的Apache 日志文件(访问的、错误的)#####

登录httpd服务机

[root@apache opt]# cd /etc/logstash/conf.d/

[root@apache conf.d]# touch apache_log.conf

[root@apache conf.d]# vim apache_log.conf

input {

       file{

        path => "/etc/httpd/logs/access_log"

        type => "access"

        start_position => "beginning"

        }

       file{

        path => "/etc/httpd/logs/error_log"

        type => "error"

        start_position => "beginning"

        }

      }

output {

        if [type] == "access" {

        elasticsearch {

          hosts => ["192.168.126.40:9200"]

          index => "apache_access-%{+YYYY.MM.dd}"

          }

        }

        if [type] == "error" {

        elasticsearch {

          hosts => ["192.168.126.40:9200"]

          index => "apache_error-%{+YYYY.MM.dd}"

          }

        }

        }

ELK简介及其配置和常规用法_apache_54

[root@apache conf.d]# /usr/share/logstash/bin/logstash -f apache_log.conf

 

####登录宿机###

打开浏览器 输入http://192.168.126.40:9100/ 查看索引信息###

能发现

apache_error-2019.04.16     apache_access-2019.04.16

ELK简介及其配置和常规用法_elasticsearch_55

这边只有一个error,是因为access日志里面还没有文件。可以用另外的机器多次访问后重启logstash,重新执行/usr/share/logstash/bin/logstash -f apache_log.conf后刷新(如果还有报错,可以删除/usr/share/logstash/conf.d)

ELK简介及其配置和常规用法_elasticsearch_56

打开浏览器 输入http://192.168.126.40:5601

点击左下角有个management选项---index  patterns---create index pattern

----分别创建apache_error-*   和     apache_access-* 的索引   

ELK简介及其配置和常规用法_数据_57

ELK简介及其配置和常规用法_elasticsearch_58

ELK简介及其配置和常规用法_apache_59

ELK简介及其配置和常规用法_apache_60


over