elk收集windows日志

一、windows安装logstash

　　1. 安装过程

　　logstash安装需要java环境支持，需先安装jkd1.8。

　　官网下载logstash安装包，下载地址：https://www.elastic.co/cn/downloads/logstash，下载zip文件logstash-6.5.4.zip,解压到某个目录下。

　　在bin目录下运行命令：logstash -e "input { stdin { } } output { stdout {}}"

　　然后你会发现终端在等待你的输入。没问题，敲入 Hello World，回车，Logstash会将时间戳和IP地址信息加入输出的消息。按下CTRL-C可以从命令行退出Logstash。

　　

　　

    2. logstash 工作原理

　　在logstash中，包括了三个阶段:

　　输入input --> 处理filter（不是必须的） --> 输出output

　　每个阶段都由很多的插件配合工作，比如file、elasticsearch、Redis等等

　　每个阶段也可以指定多种方式，比如输出既可以输出到elasticsearch中，也可以指定到标准输出stdout在控制台打印。

　　

　　

　　3. 命令行中常用的命令

-e：后面跟着字符串，该字符串可以被当做logstash的配置（如果是“” 则默认使用stdin作为输入，stdout作为输出）

-f：通过这个命令可以指定Logstash的配置文件，根据配置文件配置logstash：
    /bin/logstash -f /etc/logstash/conf.d/nginx_logstash.conf

二、配置logstash

　　为了收集windows系统上的php错误日志，需要新建logstash配置项，在bin目录下新建一个logstash.conf文件。内容如下：

　　

input {
            file {
                    path => "D:/php/logs/php_error.log"    ******（要收集的日志文件）
                    type => "php_error"
            }
    }

filter {
          if ([message] =~  "^(?!.*?Fatal).*$") {          *******（正则过滤，丢弃不包含Fatal的日志内容）
             drop {}
          }        
      if ([message] =~  "Maximum.*$") {　　　　　　　　　　　  *******（正则过滤，丢弃包含指定字符串的日志内容）　　　
             drop {}
          }
      ruby { 
       code => "event['index_day']=event.timestamp.time.localtime.strftime('%Y.%m.%d')"   *****（lg默认时区是utc，自定义日期，方便输出es索引）
   } 
    
}

output {
        elasticsearch {                                 **********（es收集结果） 
             hosts => "192.168.1.13" 
            index => "erp_php_error_%{index_day}"
        }
    
    }

　　CMD启动logstash：

　　　　C:\Users\admin\Desktop\logstash-6.5.4\bin\logstash.bat -f C:\Users\netadmin\Desktop\logstash-6.5.4\bin\logstash.conf

　　可通过查看es索引查看结果。

三、安装kibana

　　elk官网下载kibana kibana-5.4.3-linux-x86_64.tar.gz（从版本6.0.0开始,Kibana仅支持64位操作系统）

　　# tar xf kibana-5.4.3-linux-x86_64.tar.gz  -C /usr/local/　　
　　# ln -s kibana-5.4.3-linux-x86_64/ kibana
　　修改配置文件config/kibana.yml
　　# vim config/kibana.yml
　　 #端口
    server.port: 5601
    #主机
    server.host: "0.0.0.0"
    #es的地址
    elasticsearch.url: "http://192.168.1.13:9200"
    #kibana在es中的索引
    kibana.index: ".kibana"

　　　前台启动kibana ：   ./bin/kibana

　　　后台启动kibana： nohup ./bin/kibana &

　　　关闭kibana　　　

[root@localhost bin]# ps -ef | grep node
root 3607 3247 1 13:49 pts/1 00:00:06 ./../node/bin/node --no-warnings ./../src/cli
root 3680 3247 0 13:56 pts/1 00:00:00 grep --color=auto node
[root@localhost bin]# kill -9 3607

 　      浏览器输入ip:5601访问kibana界面

　　　kibana使用可参考网上其他资料