elk收集windows日志

一、windows安装logstash

  1. 安装过程

  logstash安装需要java环境支持,需先安装jkd1.8。

  官网下载logstash安装包,下载地址:https://www.elastic.co/cn/downloads/logstash,下载zip文件logstash-6.5.4.zip,解压到某个目录下。

  在bin目录下运行命令:logstash -e "input { stdin { } } output { stdout {}}"

  然后你会发现终端在等待你的输入。没问题,敲入 Hello World,回车,Logstash会将时间戳和IP地址信息加入输出的消息。按下CTRL-C可以从命令行退出Logstash。

  

  

    2. logstash 工作原理

  在logstash中,包括了三个阶段:

  输入input --> 处理filter(不是必须的) --> 输出output

  每个阶段都由很多的插件配合工作,比如file、elasticsearch、Redis等等

  每个阶段也可以指定多种方式,比如输出既可以输出到elasticsearch中,也可以指定到标准输出stdout在控制台打印。

  

  

  3. 命令行中常用的命令

-e:后面跟着字符串,该字符串可以被当做logstash的配置(如果是“” 则默认使用stdin作为输入,stdout作为输出)

-f:通过这个命令可以指定Logstash的配置文件,根据配置文件配置logstash:
    /bin/logstash -f /etc/logstash/conf.d/nginx_logstash.conf

二、配置logstash

  为了收集windows系统上的php错误日志,需要新建logstash配置项,在bin目录下新建一个logstash.conf文件。内容如下:

  

input {
            file {
                    path => "D:/php/logs/php_error.log"    ******(要收集的日志文件)
                    type => "php_error"
            }
    }

filter {
          if ([message] =~  "^(?!.*?Fatal).*$") {          *******(正则过滤,丢弃不包含Fatal的日志内容)
             drop {}
          }        
      if ([message] =~  "Maximum.*$") {             *******(正则过滤,丢弃包含指定字符串的日志内容)   
             drop {}
          }
      ruby { 
       code => "event['index_day']=event.timestamp.time.localtime.strftime('%Y.%m.%d')"   *****(lg默认时区是utc,自定义日期,方便输出es索引)
   } 
    
}

output {
        elasticsearch {                                 **********(es收集结果) 
             hosts => "192.168.1.13" 
            index => "erp_php_error_%{index_day}"
        }
    
    }

  CMD启动logstash:

    C:UsersadminDesktoplogstash-6.5.4inlogstash.bat -f C:Users etadminDesktoplogstash-6.5.4inlogstash.conf

  可通过查看es索引查看结果。

三、安装kibana

  elk官网下载kibana kibana-5.4.3-linux-x86_64.tar.gz(从版本6.0.0开始,Kibana仅支持64位操作系统)

  # tar xf kibana-5.4.3-linux-x86_64.tar.gz  -C /usr/local/  
  # ln -s kibana-5.4.3-linux-x86_64/ kibana
  修改配置文件config/kibana.yml
  # vim config/kibana.yml
   #端口
    server.port: 5601
    #主机
    server.host: "0.0.0.0"
    #es的地址
    elasticsearch.url: "http://192.168.1.13:9200"
    #kibana在es中的索引
    kibana.index: ".kibana"




   前台启动kibana :   ./bin/kibana


   后台启动kibana: nohup ./bin/kibana &


   关闭kibana   


[root@localhost bin]# ps -ef | grep node
root      3607  3247  1 13:49 pts/1    00:00:06 ./../node/bin/node --no-warnings ./../src/cli
root      3680  3247  0 13:56 pts/1    00:00:00 grep --color=auto node
[root@localhost bin]# kill -9 3607



        浏览器输入ip:5601访问kibana界面


   kibana使用可参考网上其他资料






    不积跬步,无以至千里!




        

	      

	    

	  

	  

	    
      
        【推广】
        免费学中医,健康全家人
      
	  

    

    

          原文地址:https://www.cnblogs.com/f66666/p/10273435.html