前面我们已经搭建好ELK组件,现在来用它收集并且展示我们的系统日志。
1、启动Elasticsearch
1.1切换 elkuser用户(注意不能在root用户下启动)
切换用户命令:su elkuser,执行下面的启动命令
/data/app/elasticsearch/bin/elasticsearch
2、启动Kibana
/data/app/kibana/bin/kibana
3、Logstash
3.1 进入Logstash的cong目录下,创建一个新的后缀为conf的文件:
vi test_syslog.conf
3.2 输入以下内容(内容说明不用输入)
input {
file {
path => "/var/log/messages"
type => "system"
start_position => "beginning"
}
}
filter {
}
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
index => "msg-%{+YYYY.MM.dd}"
}
}
内容说明:
input {} :输入信息的说明
path:告诉Logstash我们收集数据的路径
type:自定义一个类型,用来区分收集是什么数据
start_position:从日志文件开头处开始收集
filter {}:这里我们不需要过滤,就空着
output {}:输出信息的说明
elasticsearch {}:告诉Logstash我们收集后的数据存储在elasticsearch
hosts:elasticsearch所在的主机ip+端口
index :输出到数据保存的一个集合,这里定义这个集合的名字
保存退出vi
3.3 启动Logstash,并且读取test_syslog.conf
/data/app/logstash/bin/logstash -f test_syslog.conf
等一会,如无意外会出现下图的内容,即启动成功
4、在Kibana上观察
在浏览器打开Kibana面板:http://192.168.142.129:5601
192.168.142.129是我的虚拟机地址(请实际情况替换)
4.1 如下图,打开后,点击红色圈Management选项
4.1 如下图,点击红色圈index Management选项
4.2 如下图,就会观察到我们收集到的系统日志数据集合(名字就是我们在test_syslog.conf中定义的)
4.3 现在我们可以查看这个集合里面的数据,点击进入Dev Tools选项,输入查询命令GET /msg-2019.06.04/_search,点击运行按钮,右边就会显示收集到的数据咯~
