ELK笔记

一、 Elasticsearch（数据库）

需要全文检索时，需要模糊搜索时，需要分布式海量日志时使用

1、 基本结构：索引（数据库），类型（表），文档（行），字段（列）

2、 Text和keyword都是字符串类型，但是text会被分词（拆开），keyword不会被分词

3、 Es非常吃内存，并且有延迟不能做实时更新查询

4、 Es集群，主节点连续3次ping不通节点，认为节点挂了

5、 分片：把索引分成几片储存，实现负载均衡。集群创建分片的时候最好是几个节点，创建几个分片。

6、 可视化工具（客户端）：elasticsearch head(谷歌浏览器扩展插件)

 

二、 Kibana

1、 可视化的日志、请求分析工具。常配合es进行数据分析

2、 搜索前创建索引模板，按照es里索引库里已存的字段比如：时间

 

三、 Logstach

1、 日志收集组件，可以从文件、各种数据库、tcp、udp、websocket等多种来源收集日志，并输出到文件、各种数据库里面存储。常配合es进行日志收集。

2、 例如：业务程序通过log4net写日志->kafka->logstach->es->kibana查看分析

从redis里收集日志成功后，会自动删掉redis里的数据。