无它，唯手熟尔

摘要： elastalert 配置语法： 简单rule规则: es_host,es_port:查询elasticsearch集群 name: 规则的唯一名称。如果相同，则elastalert不会启动。 type: 数据验证方式(规则类型) index: 要查询的索引名称。默认 filter： 相当于 查询语 阅读全文

摘要： 基于对elasticsearch中数据监控需要，我尝试了sentinl和elastalert两款工具。虽然elastalert是纯文本，但易配置管理。elk自带的watch需要付费才可使用。 6.2x版本以上，需要先运行elastalert server服务(docker),然后在能使用kibana 阅读全文

摘要： elasticsearch head第三方的查询工具 "elasticsearch head git" 环境: elasticsearch6.x docker安装： 查询镜像: 拉取镜像： elasticsearch head:5 标准版本(最新)，兼容elasticsearch 5.x和6.x版本 阅读全文

摘要： elasticsearch 常用工具： elasticsearch dump :备份 elasticsearch head :数据展示、操作平台 elasticsearch head github 地址： "https://github.com/mobz/elasticsearch head" el 阅读全文

摘要： es的映射就相当于编程语言中给变量定义类型，定义后的变量使用起来更高效，未定义的变量相较于定义的性能肯定是不如的。所以需要掌握es映射。 未定义映射es会对提供的数据进行类型猜测，如果对自动判断的类型及参数设置不满意，或者需要使用一些更高级的映射设置，那么就需要使用自定义映射。 添加映射格式： 创建 阅读全文

摘要： nginx 日志问题(\x22) 问题： 1、request_body中含有中文时，nginx日志会转换为十六进制。 2、nginx记录问题 优化： logstash为了能高效的处理各类日志，希望日志是一种特定结构存储的方式。 nginx默认日志格式： 问题日志 中都是转换后十六进制，不易阅读. 直 阅读全文

摘要： 之前介绍filter date插件时就谈到时区问题，但是没有说明白。最近在使用range查询时间范围内的数据时出现了数据量不一致的情况。特地了解了下ELK Stack中关于时区的问题。 问题: 使用kibana discovery界面搜索时，数据量一致。使用curl 搜索时少了数据。 再说时间问题前 阅读全文

摘要： 一般索引按月、季或年为单位创建索引。我这里写成logstash www 2019 03,www是URL的二级域名。格式类型完全根据自己方便就行。 当ELK集群中的索引过多时，我这里有100多个不同的日志，也就是得有100多个索引。如果要手动在在kibana界面上创建，还不得累死。所以就想到用程序调用 阅读全文

摘要： sed stream editor for filtering and transforming text Sed是一个流编辑器。流编辑器用于对输入流(文件或管道输入)执行基本的文本转换。虽然在某些方面类似于允许脚本编辑的编辑器(如ed)，但sed的工作方式是只对输入进行一次传递，因此效率更高。但是 阅读全文

摘要： [TOC] NAME gawk pattern scanning and processing language 模式扫描和处理语言 awk是一个强大的文本分析工具，相对于grep的查找，sed的编辑，awk在其对数据分析并生成报告时，显得尤为强大。简单来说awk就是把文件逐行的读入，以空格为默认分 阅读全文