Windows环境下ELK简单搭建记录

前言

　　ELK已经是一套成熟的日志解决方案，虽然出现了好久，今日才终于研究了一下，不过是在windows平台上安装的。

搭建步骤

下载软件
安装软件
修改配置文件
启动软件
集成测试

下载软件

　　首先从官网下载三个软件。我下载的是 6.2.3版本的，最好都统一，否则会出现小问题。官网地址：https://www.elastic.co/

安装软件

　　分别将上文中的ELK三个压缩包解压到相应的文件夹下。(我的电脑文件夹是C:/elk/）

　　由于logstash和kibana都需要配置elasticsearch的server url，所以先配置了elasticsearch。

　　打开 elasticsearch-6.2.3/config 文件夹，打开elasticsearch.yml,配置一下基本信息：

cluster.name: <集群名称>
node.name: <当前节点名称>
network.host: <本机IP或者localhost>
http.port: 9200

　　使用cmd命令安装elasticsearch service

　　安装完成之后启动es服务。打开 host:9200 测试一下es是否安装成功。

　　下面安装logstash。

　　进入到 C:\elk\logstash-6.2.3\config 文件夹下新建log.config文件。这里我选择的输入源是file，然后filter处理日志中的json，output到elasticsearch和控制台。log.config文件配置如下：

input {
  file {
     type => "log"
     path => "C:/logs/*.log"
     codec => plain{
          charset => "UTF-8"
    }
     start_position => "beginning"
  }
}
filter {
    ruby {
        将@timestamp转换为服务器时间，否则会是UTC时间（慢8个小时）
     code => "event.timestamp.time.localtime"
     }
     json{
        解析日志中的json格式到log字段，移除message字段和host
        source => "message"
        target => "log"
        remove_field => ["message"]
        remove_field => ["host"]
    }
}
 
output {
    stdout {
       codec => rubydebug
    }
    elasticsearch {
    hosts => ["127.0.0.1:9200"]
    index => "logs"
    }
}