标签：

更多后台运行方式参考：

http://kibana.logstash.es/content/logstash/get_start/daemon.html

elk常见错误：

http://www.ttlsa.com/log-system/troubleshooting-elk-common-issues/

http://www.cnblogs.com/galengao/p/5780544.html

logstash

codec配置参考：http://kibana.logstash.es/content/logstash/plugins/codec/

start_position 参考：http://kibana.logstash.es/content/logstash/plugins/input/file.html

配置参考，同时设置标准输出，可以在窗口里看到实时动态。

扯

1、对于日志文件，logstash不是认行，多行可能被放在一个msg里面，叫做一个事件，所以我猜这就是设置codec作用。

2、对于整个elk框架来说，最重要的就是logstash的配置文件了。

建议看官网示例，看别的博客的示例，总是搞不好，搞得自己怀疑人生。https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html

input {

    file{
        path => ["/export/server/tomcat7/logs/localhost_access_log.2016-08-25.txt"]
        start_position => "beginning"
    }
}
   
filter {
    grok {
        match => {
            "message" => "%{IP:client} (%{USERNAME:ident}|-) (%{USERNAME:auth}|-) \[%{HTTPDATE:timestamp}\] \"%{WORD:method} %{URIPATHPARAM:request} (HTTP/%{NUMBER:http_version}|-)\" %{NUMBER:response} %{NUMBER:bytes}"
        }
    }
}
output {
    stdout{
        elasticsearch {hosts => "192.168.1.11" }
        stdout { codec=> rubydebug }
    }
}

Elasticsearch

head插件

更多图文参考：http://my.oschina.net/itblog/blog/547250#OSC_h4_7

kibana

图表的使用

kibana的使用参考：

http://my.oschina.net/itblog/blog/547250#OSC_h4_8

http://www.cnblogs.com/yincheng/p/logstash.html?utm_source=tuicool&utm_medium=referral

ELK 3 – 参考

标签：

原文地址：http://www.cnblogs.com/datadev/p/5809242.html