上面的两张图是elk的一个架构
下面是对logstash分析:如下图
可以看出 logstash的一个角色shipper,(是通过配置文件来决定logstash是shipper还是indexer)注意:logstash共有两个角色一个是shipper,另一个是indexer
shipper:是日志收集者。负责监控本地日志文件的变化,及时把最新内容收集起来,输出到redis暂存。
indexer:日志存储者。负责从redis接收日志,分板数据,并存储在ElasticSearch,ElasticSearch也负责搜索数据,然后在由前端的Kibana提供丰富的图表展示。
Broker做为shipper和indexer之间的缓冲区,使用redis实现。
各组件的下载地址: https://www.elastic.co/downloads