ELK

一、ELK介绍

😄

“ELK”是三个开源项目的首字母缩写，这三个项目分别是：Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。

简单来说，E就是用来做内容检索，L用来做日志文本处理，K用来做图形化展示。

二、ELK应用场景

😄

1、应急响应，日志分析(咱们主要用来做这个)

2、微服务架构项目，收集各个服务的日志。

3、分布式部署项目，需要收集日志。

三、ELK搭建

😄

1、我们使用dokcer搭建比较方便(docker环境自行搭建)

2、下载ELK环境(https://github.com/deviantony/docker-elk)

3、进入ELK目录，运行docker-compose up -d

4、运行docker ps -a 查看ELK是否运行成功(运行成功是启3个服务，STATUS状态都为UP即可，注意以下服务的几个端口不要被占用)

5、打开浏览器，访问127.0.0.1:9200，默认账号为elastic,密码为changeme

6、访问127.0.0.1:5601,账号密码如图，注意内存必须4G以上，否则访问页面会崩，如果看到这恭喜你ELK已经搭建成功！！！

四、ELK简单使用

😄

1、登录成功后，点击upload a file可上传一个日志文件(以下使用一个web日志来做演示)

2、直接将文本文件拖入即可

3、等待上传完成后点击导入，文件名字随便取，导入并等待

4、滚动条往下拖，点击View index in Discover

5、页面功能介绍

6、点击左边的字段名后面的+，可将该字段的内容添加到右边的展示列表中(常用字段名介绍 Time:时间，agent:浏览器操作系统版本信息，bytes:字节数，clientip:请求IP，message:完整信息，request:请求url，response:响应状态码，verb:请求方式)添加完成后，列表如下图所示

7、通过检索对列表进行查找，可以直接输入想查找的内容进行查询或者通过某个字段进行查找

8、通过过滤进行检索，在鼠标指到列表中的某个内容时后面会出现一个加号，点击添加会直接进行检索

五、总结

😄

​ 总体来说，如果大家要去做应急响应或者日志分析时可以使用ELK，将想要分析的文本上传上去，可以快速检索到大家想要的内容，找到问题所在，其他功能大家自己可以继续摸索。