ELK Stack 日志分析平台搭建：集中化管理海量日志

ELK Stack 日志分析平台搭建：集中化管理海量日志

ELK（Elasticsearch、Logstash、Kibana）提供了强大的日志收集、存储和可视化能力。

一、概述

ELK 是 Elasticsearch、Logstash、Kibana 三件套的组合，是分布式系统日志管理的标准方案。

二、Elasticsearch

分布式搜索和分析引擎，支持全文搜索和聚合分析。

docker run -d -p 9200:9200 -e "discovery.type=single-node" elasticsearch:8
curl localhost:9200

三、Logstash

日志收集和处理管道。

input { file { path => "/var/log/*.log" } }
filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } }
output { elasticsearch { hosts => ["localhost:9200"] } }

四、Kibana

数据可视化平台，通过 Web 界面创建仪表盘、搜索日志、创建告警。

五、Filebeat

轻量级日志采集器，替代 Logstash 收集日志。

filebeat.inputs:
- type: log
  enabled: true
  paths: [/var/log/*.log]
output.elasticsearch:
  hosts: ["localhost:9200"]

六、总结

ELK 是分布式系统日志管理的标准方案。结合 Filebeat 可以实现轻量级的日志采集，通过 Kibana 实现可视化展示。建议在生产环境中使用 ELK 来集中管理应用日志、系统日志和安全日志。

本文基于实际生产环境经验编写，配置参数需根据具体情况调整。建议在测试环境验证后再应用于生产环境。