解析ELK(filebeat+logstash+elasticsearch+kibana)日志系统原理以及k8s集群日志采集过程

原创 已于 2025-09-03 11:24:54 修改 · 1.6k 阅读 · 11
标签
#elk #elasticsearch #kubernetes
于 2025-09-02 18:27:35 首次发布

ELK日志系统解析

ELK 日志系统(现常称为 Elastic Stack,由 Filebeat、Logstash、Elasticsearch、Kibana 组成)是一套用于 日志收集、清洗、存储、检索和可视化 的开源解决方案。
它的核心价值是将分散在多台服务器 / 应用中的日志 “汇聚成池、结构化处理、按需分析”,解决传统日志 “查起来难、用起来乱” 的痛点。

一、ELK 各组件的核心角色

可以把 ELK 类比成 “日志工厂”,每个组件对应一个生产环节,分工明确且环环相扣:

组件 核心角色(工厂类比) 核心功能
Filebeat 日志采集员(前端) 轻量级日志采集工具,部署在每台需要收集日志的服务器上,实时读取本地日志文件,发送给后续组件(如 Logstash/Elasticsearch)。
Kafka【按需】 日志缓冲器(中间件) 在大规模场景(如数千台服务器、每秒数万条日志)下,直接用 Filebeat 发送日志到 Logstash 可能出现 “日志丢失”(如 Logstash 宕机)。此时会引入 Kafka(消息队列) 作为 “缓冲层”
Logstash 日志加工厂(中间件) 接收 Filebeat 传来的原始日志,进行 “清洗加工”(如提取字段、过滤无用信息、格式转换),输出结构化日志到 Elasticsearch。
Elasticsearch 日志仓库 + 检索引擎(后端) 分布式搜索引擎,存储结构化后的日志数据,支持毫秒级全文检索(如 “查询昨天 10 点报错的日志”),是 ELK 的 “数据核心”。
Kibana 日志可视化面板(前端) 对接 Elasticsearch,提供可视化界面(如柱状图、折线图、日志列表),支持用户查询、分析日志,生成监控报表。

1. 高可用模式设计:

在这里插入图片描述

2. ELK 扩展场景:引入 Kafka 提升稳定性

在大规模场景(如数千台服务器、每秒数万条日志)下,直接用 Filebeat 发送日志到 Logstash 可能出现 “日志丢失”(如 Logstash 宕机)。此时会引入 Kafka(消息队列) 作为 “缓冲层”
优化流程为:
Filebeat → Kafka → Logstash → Elasticsearch → Kibana

Kafka 作用:
缓冲日志:Filebeat 将日志发送到 Kafka 后立即返回,无需等待 Logstash 处理;
解耦上下游:Logstash 宕机时,日志暂存 Kafka,恢复后从 Kafka 消费,避免丢失;
削峰填谷:应对日志流量突发(如秒杀活动导致日志量骤增),Kafka 平滑流量到 Logstash。

二、ELK 日志流转的完整原理

从 “原始日志” 到 “可查询的可视化图表”,ELK 需经过 4 个核心步骤,流程如下:
步骤 1:Filebeat 采集日志(前端采集)

  • 部署位置:每台需要收集日志的服务器(如应用服务器、数据库服务器、Linux 主机)。
  • 采集逻辑:
    1. 配置 “日志路径”(如 /var/log/nginx/access.log、/opt/app/logs/app.log);
    1. 实时监控日志文件变化(类似 tail -f),按行读取新产生的日志;
    1. 轻量级处理(如添加 “服务器 IP”“日志来源” 等元数据),避免占用过多服务器资源;
    1. 将日志发送到下游(默认发送给 Logstash,也可直接发送给 Elasticsearch,适合简单场景)。

关键优势:轻量(内存占用通常 < 100MB)、稳定(崩溃后自动重启)、支持多类型日志(文件日志、系统日志、容器日志等)。
步骤 2:Logstash 清洗日志(中间处理)

  • 定位:通常部署在独立的服务器(或高可用模式采用集群),作为 “日志加工中心”。
  • 核心流程(三阶段 Pipeline):
    1. Input(输入):接收 Filebeat 发送的日志(也支持接收 Kafka、Redis 等中间件的日志);
    1. Filter(过滤 / 加工):ELK 最核心的 “结构化” 环节,
      格式转换:将非结构化日志(如纯文本)转为 JSON 格式(方便 Elasticsearch 存储和检索);
    1. Output(输出):将加工后的结构化日志发送到 Elasticsearch(也可输出到 Kafka、文件等)。

关键优势:插件丰富(支持 200+ 插件,满足各种日志处理需求)、灵活定制(通过配置文件定义加工规则)。

步骤 3:Elasticsearch 存储与索引(后端存储)

  • 定位:分布式存储与检索引擎,通常部署为集群(至少 3 节点,保证高可用)。
  • 核心逻辑:
    1. 日志存储:接收 Logstash 传来的 JSON 格式日志,按 “索引(Index)” 组织数据(类似数据库的 “表”);
    1. 索引策略:通常按时间分片(如每天创建一个索引 log-2024-09-01、log-2024-09-02),方便后续按时间查询,也便于过期日志清理(如删除 30 天前的索引);

索引优化:Elasticsearch 会对日志字段建立 “倒排索引”(类似字典的 “拼音索引”),支持快速全文检索(如输入 “ERROR”,瞬间找到所有包含 “ERROR” 的日志);
高可用保障:通过 “分片(Shard)” 和 “副本(Replica)” 实现
分片:将一个索引拆分为多个分片(如 5 个主分片),分散存储在不同节点,支持水平扩容;
副本:每个主分片创建 1+ 个副本(如 1 个副本),存储在不同节点,主分片故障时副本自动接管,确保数据不丢、服务不中断。
关键优势:检索速度快(毫秒级)、支持分布式(可扩展到数百节点)、高可用(副本 + 分片机制)。

步骤 4:Kibana 可视化查询(前端展示)
功能:
●提供日志搜索界面
●创建仪表板和可视化
●设置告警规则
常用功能:
●Discover:搜索和查看日志
●Dashboard:创建监控仪表板
●Index Patterns:管理日志索引模式
●Logs:查看 Kubernetes 应用日志

三、 通过ELK采集K8s集群中pod的日志并做可视化展示

step1:filebeat采集pod日志

●监控节点上的 /var/log/pods/ 目录(默认集群中pod日志存储位置)
●自动发现新的 Pod 并开始收集其日志
●添加 Kubernetes 元数据(如 Pod 名称、命名空间、标签等)
●将日志发送到 Logstash 进行进一步处理
配置要点:

vim filebeat-k8s.yml

#=======================k8s===========================
- type: log
  enabled: true
  fields:
      service: k8s
      role: pods
      topic: log-k8s
  fields_under_root: true
  paths:
    - /var/log/pods/*/*/*.log
  tail_files: true

step2:Logstash 处理采集到的日志

典型处理流程:
1.接收来自 Filebeat 的日志
2.解析 JSON 格式的日志(如需要)
3.提取特定字段(如时间戳、日志级别等)
4.添加或删除字段
5.根据条件过滤或路由日志
示例配置:
注:这里对从filebeat接收到的k8s的日志进行特殊处理

vim logstash.conf

input {
  beats {
    port => 9696 // 监听9696端口,接收Filebeat发送的日志
  }
}
filter {
  // #### k8s 容器日志  ####
  if [topic] == "log-k8s" { // 仅处理 topic 字段为 "log-k8s" 的日志
    if [service] == "k8s" { //进一步筛选 service 字段为 "k8s" 的日志
      grok{        // 使用 grok 解析日志内容
        match => {
          "message" => [
          // # 模式1:提取时间戳、输出类型、日志级别、进程ID、来源等
            "%{TIMESTAMP_ISO8601:date} %{WORD:output} %{WORD} %{NOTSPACE:level}%{NUMBER} %{NOTSPACE}%{SPACE}[T ]%{NUMBER:pid} %{NOTSPACE:source} %{GREEDYDATA:msg}",
            // # 模式2(简化版):仅提取时间戳和消息
            "%{TIMESTAMP_ISO8601:date} %{WORD:output} %{WORD} %{GREEDYDATA:msg}"
            ]
        }
      }
      date {  // 将原始时间戳转换为 @timestamp
        match => ["date","ISO8601"] // 匹配 ISO8601 格式的时间
        target => [ "@timestamp" ] // 存储到 Elasticsearch 的标准时间字段
      }
    }
}
  else {
     drop {} // # 丢弃所有不满足 topic=="log-k8s" 的日志
  }
  if [log][offset] {
    mutate {
      add_field => {
         "offset" =>"%{[log][offset]}"
      }
    }
  }

  mutate {
    remove_field => ["@version", "event", "log", "message"] // # 删除冗余字段
   }
 }
 
 output {
#  stdout {
#    codec => rubydebug
#  }
  elasticsearch {
    hosts => [
           "es1:9200", // # ES集群地址
           "es2:9200", 
           "es3:9200" 
         ]
    user => "elastic" // # 认证用户名
    password => "6suq6twSe4Xk"  // # 认证密码
    index => "%{topic}-%{+YYYY.MM.dd}" // # 按天创建索引(如 log-k8s-2023.10.30)
  }
}

功能说明:
●对 Kubernetes 容器日志进行结构化解析。
●提取关键字段(如时间戳、日志级别、进程ID等)。
●标准化时间字段。
Grok 模式说明:
●TIMESTAMP_ISO8601: 匹配 ISO8601 时间格式(如 2023-10-30T12:00:00.000Z)。
●WORD/NOTSPACE: 匹配单词或非空格字符。
●GREEDYDATA: 捕获剩余所有内容。
完整配置流程图
在这里插入图片描述

step3:Elasticsearch进行日志存储以及检索

功能:
●存储所有日志数据
●提供强大的搜索和聚合能力
●管理索引生命周期
示例配置

vim elasticsearch.yml

#-----------------------Cluster-------------------
cluster.name: TDP  # 集群命名
cluster.max_shards_per_node: 10000
#-----------------------Node-------------------
node.name: 10.127.188.xxx
# -----------------------Paths-------------------
path.logs: /var/log/elasticsearch   # 日志路径
path.data:
    - /data01/elasticsearch
action.auto_create_index: true

#---------------Network----------------------
network.host: 10.127.188.xxx

# Set a custom port for HTTP
http.port: 9200
transport.port: 9300

network.host: 0.0.0.0
discovery.seed_hosts: ["node-1", "node-2"]  # ES节点列表
# --------- 内存和堆大小配置,为 Elasticsearch 设置合适的堆大小,以避免内存溢出-------------
bootstrap.memory_lock: true
ES_JAVA_OPTS: "-Xms512m -Xmx512m"

检查集群状态
使用 Kibana 或直接通过 Elasticsearch 的 REST API 检查集群状态:

curl -X GET "localhost:9200/_cat/nodes?v&pretty"

step4: Kibana (日志可视化和分析)界面构建

功能:
●提供日志搜索界面
●创建仪表板和可视化
●设置告警规则
常用功能:
●Discover:搜索和查看日志
●Dashboard:创建监控仪表板
●Index Patterns:管理日志索引模式
●Logs:查看 Kubernetes 应用日志
配置要点(kibana.yml):

server.host: "0.0.0.0"  # 允许外部访问
server.name: "k8s01" # 主机名
elasticsearch.hosts: ["http://es01:9200"]  # ES地址
monitoring.ui.container.elasticsearch.enabled: true  # 启用容器监控
xpack.security.enabled: true  # 启用安全功能(若ES开启安全)
i18n.locale: "zh-CN"  # 中文界面(可选)

Dashboard可视化界面集成
在这里插入图片描述
登录要导入的Kibana,点击左下角齿轮图标-管理->已保存对象->导入
会在右侧弹出一个窗口。
这里采用ndjson形式导入收集的日志策略。

vim kibana.ndjson

{"attributes":{"buildNum":63337,"context:defaultSize":50,"context:step":50,"dateFormat":"YYYY-MM-DD HH:mm:ss.SSS","defaultIndex":null,"discover:rowHeightOption":-1,"discover:sampleRowsPerPage":500,"discover:sampleSize":5000,"fileUpload:maxFileSize":"1GB","isDefaultIndexMigrated":true,"timepicker:timeDefaults":"{\n  \"from\": \"now-24h/h\",\n  \"to\": \"now\"\n}"},"coreMigrationVersion":"8.8.0","created_at":"2023-09-23T16:24:07.183Z","id":"8.8.2","managed":false,"references":[],"type":"config","typeMigrationVersion":"8.7.0","updated_at":"2023-09-25T06:29:11.563Z","version":"WzI0ODgsMl0="}
{"attributes":{"fieldAttrs":"{\"msg\":{\"count\":2}}","fieldFormatMap":"{}","fields":"[]","name":"log-yarn-container-stderr","runtimeFieldMap":"{}","sourceFilters":"[]","timeFieldName":"@timestamp","title":"log-yarn-container-20*","typeMeta":"{}"},"coreMigrationVersion":"8.8.0","created_at":"2023-09-25T07:34:17.212Z","id":"d59f6539-5474-4681-8495-5836e17386b5","managed":false,"references":[],"type":"index-pattern","typeMigrationVersion":"8.0.0","updated_at":"2023-09-25T07:50:23.228Z","version":"WzI5MCwxXQ=="}
{"attributes":{"fieldAttrs":"{\"app_id\":{\"count\":1},\"cluster\":{\"count\":1},\"container_id\":{\"count\":1},\"hostname\":{\"count\":1},\"ip\":{\"count\":1},\"level\":{\"count\":1},\"msg\":{\"count\":1},\"role\":{\"count\":1},\"service\":{\"count\":1}}","fieldFormatMap":"{}","fields":"[]","name":"log-yarn-container-stdout","runtimeFieldMap":"{}","sourceFilters":"[]","timeFieldName":"@timestamp","title":"log-yarn-container-stdout-*","typeMeta":"{}"},"coreMigrationVersion":"8.8.0","created_at":"2023-09-25T07:47:06.731Z","id":"6f398493-35aa-4c6a-ad98-108856826395","managed":false,"references":[],"type":"index-pattern","typeMigrationVersion":"8.0.0","updated_at":"2023-09-25T07:49:39.486Z","version":"WzI4NiwxXQ=="}
{"attributes":{"fieldAttrs":"{}","fieldFormatMap":"{}","fields":"[]","name":"log-yarn-container-flink","runtimeFieldMap":"{}","sourceFilters":"[]","timeFieldName":"@timestamp","title":"log-yarn-container-flink-*","typeMeta":"{}"},"coreMigrationVersion":"8.8.0","created_at":"2023-09-25T07:46:46.699Z","id":"194f03ec-afa2-4a5d-9bfa-5649850f3e23","managed":false,"references":[],"type":"index-pattern","typeMigrationVersion":"8.0.0","updated_at":"2023-09-25T07:46:46.699Z","version":"WzI2OSwxXQ=="}
{"attributes":{"fieldAttrs":"{}","fieldFormatMap":"{}","fields":"[]","name":"log-yarn-container-mr","runtimeFieldMap":"{}","sourceFilters":"[]","timeFieldName":"@timestamp","title":"log-yarn-container-mr-*","typeMeta":"{}"},"coreMigrationVersion":"8.8.0","created_at":"2023-09-25T07:33:39.635Z","id":"4dcb2fed-b1bb-41f1-b65c-c819d240c350","managed":false,"references":[],"type":"index-pattern","typeMigrationVersion":"8.0.0",
最低0.47元/天 解锁文章
ELK详解(一)——ELK基本原理
热门推荐
永远是少年
04-03 3万+
今天继续给大家介绍Linux运维相关知识,本文主要内容是ELK的基本原理。 一、ELK简介 二、ELK架构 三、ELK优点
ELK原理详解
qq_20751851的博客
05-09 2046
ELK堆栈作为一种强大的日志处理和分析工具,在实际应用中具有广泛的应用场景和潜力。通过深入了解ELK原理和优化策略,我们可以更好地利用ELK堆栈来收集、存储、分析和可视化日志数据
保姆级教程:在K8s上部署ELK 7.17.10,从NFS存储到Filebeat自动发现,一次搞定
weixin_42522148的博客
04-30 326
本文提供了一份详细的KubernetesK8s)上部署ELK 7.17.10的保姆级教程,涵盖从NFS存储配置到Filebeat自动发现的全流程。通过实战案例和关键参数配置,帮助用户快速搭建高可用的ELK日志系统,提升日志管理和分析效率。
ELK EFK日志搜索平台 filebeat kafka logstash elasticsearch(es) kibana
zhaoyang10的专栏
07-28 2680
ELK是当前比较主流的分布式日志收集处理工具。常用日志采集方式Filebeat→Kafka集群Logstash→ES→KibanaGrafana(可视化监控工具)上配置连接ES数据库进行实时监控实施步骤Filebeat部署在应用服务器上(只负责Logstash的读取和转发,降低CPU负载消耗,确保不会抢占应用资源),Logstash、ES、Kibana在一台服务器上(此处的Logstash负责日志的过滤,会消耗一定的CPU负载,可以考虑如何优化过滤的语法步骤来达到降低负载)。...............
ELK日志分析系统(一)之ELK原理
S314118142的博客
10-12 3148
随着业务量的增长,每天业务服务器将会产生上亿条的日志,单个日志文件达几个GB,这时我们发现Linux自带工具,cat grep awk 分析越来越力不从心了,而且除了服务器日志,还有程序报错日志,分布在不同的服务器,查阅繁琐ELK是三个软件的统称,即Elasticsearchlogstashkibana三个开源软件的缩写。这三款软件都是开源软件,通常配合使用,并且都会先后归于Elastic.co企业名下,故被简称为ELK协议线。
ELK原理
qq_36733838的博客
10-18 2179
Elasticsearch 是一个分布式的开源搜索和分析引擎,在的基础上开发而成。Lucene 是开源的搜索引擎工具包,Elasticsearch 充分利用Lucene,并对其进行了扩展,使存储、索引、搜索都变得更快、更容易, 而最重要的是, 正如名字中的“ elastic ”所示, 一切都是灵活、有弹性的。而且,应用代码也不是必须用Java 书写才可以和Elasticsearc兼容,完全可以通过JSON 格式的HTTP 请求来进行索引、搜索和管理Elasticsearch 集群
ELK Elasticsearch 集群部署
abandon的博客
11-18 1123
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearchLogstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。●ElasticSearch:是基于 Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。
基于KubernetesELK日志系统完整部署方案(含Kafka与Filebeat
weixin_34640289的博客
10-10 524
在云原生技术快速发展的背景下,基于Kubernetes日志管理已成为构建可观测性体系的核心环节。本章深入解析ELKElasticsearchLogstashKibana)技术栈在K8s环境中的整体架构设计原理,阐明其与容器化环境深度融合的必要性。ELKKubernetes中通常以分层架构运行:Filebeat作为边车或DaemonSet采集Pod日志,输出至Kafka实现解耦缓冲;Logstash消费Kafka消息,完成结构化解析后写入Elasticsearch集群
如何在 Kubernetes 下快速构建企业级云原生日志系统
easylife206的专栏
08-12 300
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !一、概述❝ELK 是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个 FileBeat,它是一个轻量级的日志收集处理工具 (Agent)Filebeat 占用资源少,适合于在各个服务器上搜集日志后传输给 Lo...
kubernetes日志收集系统部署流程及踩坑记录
beanguys的博客
02-07 1341
kubernet下日志收集系统部署流程及踩坑填坑记录
构建企业级云原生日志系统架构
云原生实验室
07-28 563
❝本文转自大数据老司机的博客,原文:https://www.cnblogs.com/liugp/p/16463920.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang一、概述❝ELK 是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个 FileBe...
【总纲】IT运维面试知识图谱与高频问题汇总
qq_33525062的博客
12-15 572
本文提供了一套完整的IT运维面试知识体系框架,通过"订单业务场景"串联起整个技术栈。内容包含:1)运维技术栈全景思维导图;2)13个专题面试题库(涵盖Linux、网络、容器、数据库等核心技术);3)高频TOP30考题精选;4)针对不同级别(初级/中级/高级)的备考重点;5)面试技巧。建议先通过业务场景理解技术体系,再系统学习面试题目。文章采用"理论+实践"的方式,帮助应聘者构建完整的运维知识框架,提升面试通过率。
服务器本质:从localhost三行命令到云原生协作网络
最新发布
weixin_30315435的博客
06-20 403
服务器是Client-Server架构中承担响应请求角色的逻辑实体,其核心在于服务契约而非硬件形态。它基于TCP/IP协议栈实现请求-响应循环,依赖socket系统调用(bind/listen/accept)构建通信基础,技术价值在于解耦协作与资源抽象。广泛应用于Web服务、API网关、数据库中间件及CDN边缘节点等场景。理解服务器,需穿透物理机箱、虚拟机镜像与容器封装,回归到进程监听端口、处理HTTP/TCP连接的本质——正如用python3 -m http.server在localhost启动的简易服务
游戏服务器与微服务交叉实践:确定性架构落地指南
ciyinzhi8788的博客
06-14 357
在分布式系统与实时交互场景中,‘确定性’是保障服务稳定与体验一致的核心技术诉求。本文从游戏服务器对延迟敏感、状态强一致、故障零容忍的硬性约束切入,解析微服务在高并发脉冲流量、跨服务状态协同、客户端智能路由等典型挑战下的真实应对逻辑。结合Unity客户端服务发现、gRPC超时熔断、Consul+OpenTelemetry链路追踪等可验证方案,揭示如何将‘理论微服务’转化为经受百万DAU考验的生产级架构。内容聚焦于开发者最常遭遇的‘凌晨三点问题’——如WebSocket黑屏、Loot服务线程阻塞、Combat接
Filebeat + es +kibana
登高~
01-19 1217
背景 分析--->报警 Kibana 展示 Kibana 存储 ElasticSerach 过滤 Logstash 收集 Filebeat, Logstash logstash:因为是由java写的,所以在它收集日志时非常占用业务系统的资源,从而影响线上业务,所以我们将其替换为filebeat. filebeat:为轻量的日志收集组件,会让业务系统的运行更加的稳定. 由于痛点: 1.出现故障,要排查的日志非常的多,没有办法很快定位; 2.统计TOP,PV,UV,I
生产级实践之集群搭建方案系列-ELK日志分析平台搭建配置
Mirson - 多一些分享, 多一些进步
04-15 1308
1. 目标 介绍ELK平台功能作用, 工作机制, 各部署架构模式特点。 实现ELK日志分析平台的安装配置。 2. 步骤 介绍ELK日志分析平台 介绍ELK部署架构模式 介绍ELK工作机制 实现Logstash安装配置 实现Filebeat安装配置 实现Kibana配置与数据查看 3. 实现 3.1 ELK日志分析平台介绍 ELK是三个开源软件的缩写,分别表示:Elasticsearch ...
手把手教你Windows下搭建Filebeat+Logstash+ElasticSearch+Kibana系统
qq_22193961的博客
04-21 6704
Filebeat+Logstash+ElasticSearch+Kibana系统,快速上手
ELK初学者
qq_32429011的博客
03-06 2069
一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问...
手把手教你搭建ELK(Elasticsearch+Logstash+Filebeat+Kibana)日志采集处理,带你入门Elastic Stack
qq_30548105的博客
07-03 2433
本文详细讲解从0如何搭建ELFK日志收集处理环境,快速实现elasticsearch+filebeat+logstash+kibana一套elastic stack技术栈,大型项目日志架构必备
elk工作基本原理
fw150104010012的博客
02-04 2212
elk简介:elasticSearch+logstash+kibana = elkelk的基本使用场景是日志收集以及日志管理工作。 elk基本原理学习体会: 1.首先在集群的每台服务器上都需要安装日记收集工具logstash用于日志的收集工作。 2.每个服务器节点会将本地的日志文件输入到LogStash中去。 3.LogStash会将日志文件以json的形式输出到ES集群中去。 4.最后可以在可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

听说唐僧不吃肉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值