ELK日志系统使用指南2018

elk 用法ELK是Elasticsearch、Logstash和Kibana三个开源软件的首字母缩写，它们通常一起使用来构建强大的日志管理和数据分析平台。

下面是ELK中各个组件的简要用法：1. Elasticsearch：Elasticsearch是一个分布式的搜索和分析引擎，用于存储和检索各种类型的数据。

其主要用法包括：-存储和索引数据：通过RESTful API将数据存储在Elasticsearch中，并创建索引以便快速检索。

-执行搜索和分析：使用丰富的查询语言对数据进行搜索和分析，包括全文搜索、聚合、过滤等操作。

-集群管理：管理Elasticsearch集群的健康状态、节点分配、索引分片等。

2. Logstash：Logstash是一个数据收集、转换和传输工具，用于将各种类型的数据从不同来源收集到Elasticsearch等存储系统中。

其主要用法包括：-数据收集：从各种来源（如日志文件、消息队列、数据库等）收集数据。

-数据转换：对收集到的数据进行解析、转换和丰富，以便后续的存储和分析。

-数据传输：将处理后的数据传输到目标存储系统，如Elasticsearch。

3. Kibana：Kibana是一个数据可视化和分析平台，用于在Elasticsearch中创建仪表板、图表和可视化报告。

其主要用法包括：-创建可视化报告：通过图表、地图、表格等方式展示Elasticsearch中的数据。

-构建仪表板：将多个可视化组件组合成仪表板，以便用户更直观地理解数据。

-进行数据分析：使用Kibana的查询和过滤功能对数据进行深入分析。

综合来看，ELK平台通过Elasticsearch提供数据存储和检索功能，Logstash用于数据收集和转换，Kibana用于数据可视化和分析，三者协同工作，构建了一个功能强大的日志管理和数据分析平台。

2018年ElasticSearch6.2.2教程ELK搭建⽇志采集分析系统（教程详情）章节⼆ elasticSearch 6.2版本基础讲解到阿⾥云部署实战2、搜索引擎知识介绍和相关框架简介：介绍搜索的基本概念，市⾯上主流的搜索框架elasticSearch和solr等对⽐什么是搜索：在海量信息中获取我们想要的信息传统做法：1、⽂档中使⽤系统的Find查找2、mysql中使⽤like模糊查询问题：1、海量数据中不能及时响应,少量数据可以通过传统的MySql建⽴索引解决2、⼀些⽆⽤词不能进⾏过滤，没法分词3、数据量⼤的话难以拓展4、相同的数据难以进⾏相似度最⾼的进⾏排序搜索引擎:1、存储⾮结构化的数据2、快速检索和响应我们需要的信息，快-准3、进⾏相关性的排序，过滤等4、可以去掉停⽤词(没有特殊含义的词，⽐如英⽂的a,is等，中⽂：这，的，是等)，框架⼀般⽀持可以⾃定义停⽤词常⽤框架：1、LuceneApache下⾯的⼀个开源项⽬，⾼性能的、可扩展的⼯具库，提供搜索的基本架构；如果开发⼈员需⽤使⽤的话，需⽤⾃⼰进⾏开发,成本⽐较⼤，但是性能⾼2、solrSolr基于Lucene的全⽂搜索框架，提供了⽐Lucene更为丰富的功能，同时实现了可配置、可扩展并对查询性能进⾏了优化建⽴索引时，搜索效率下降，实时索引搜索效率不⾼数据量的增加，Solr的搜索效率会变得更低,适合⼩的搜索应⽤，对应java客户端的是solrj3、elasticSearch基于Lucene的搜索框架, 它提供了⼀个分布式多⽤户能⼒的全⽂搜索引擎，基于RESTful web接⼝上⼿容易，拓展节点⽅便，可⽤于存储和检索海量数据，接近实时搜索，海量数据量增加，搜索响应性能⼏乎不受影响；分布式搜索框架，⾃动发现节点，副本机制，保障可⽤性3、新版本 elasticSearch 6.1.2介绍简介：介绍ES的主要特点和使⽤场景，新特性讲解elasticSearch主要特点1、特点：全⽂检索，结构化检索，数据统计、分析，接近实时处理，分布式搜索(可部署数百台服务器)，处理PB级别的数据搜索纠错，⾃动完成2、使⽤场景：⽇志搜索，数据聚合，数据监控，报表统计分析3、国内外使⽤者：维基百科，Stack Overflow，GitHub新特性讲解1、6.1.x版本基于Lucene 7.1.0，更快，性能进⼀步提升,对应的序列化组件，升级到Jackson 2.82、⾃适应副本选择今天在Elasticsearch中，对同⼀分⽚的⼀系列搜索请求将以循环⽅式转发到主要和每个副本。

微服务下，使⽤ELK进⾏⽇志采集以及统⼀处理摘要：微服务各个组件的相关实践会涉及到⼯具，本⽂将会介绍微服务⽇常开发的⼀些利器，这些⼯具帮助我们构建更加健壮的微服务系统，并帮助排查解决微服务系统中的问题与性能瓶颈等。

微服务各个组件的相关实践会涉及到⼯具，本⽂将会介绍微服务⽇常开发的⼀些利器，这些⼯具帮助我们构建更加健壮的微服务系统，并帮助排查解决微服务系统中的问题与性能瓶颈等。

我们将重点介绍微服务架构中的⽇志收集⽅案 ELK（ELK 是 Elasticsearch、Logstash、Kibana 的简称），准确的说是 ELKB，即 ELK + Filebeat，其中 Filebeat 是⽤于转发和集中⽇志数据的轻量级传送⼯具。

为什么需要分布式⽇志系统在以前的项⽬中，如果想要在⽣产环境需要通过⽇志定位业务服务的 bug 或者性能问题，则需要运维⼈员使⽤命令挨个服务实例去查询⽇志⽂件，导致的结果是排查问题的效率⾮常低。

微服务架构下，服务多实例部署在不同的物理机上，各个微服务的⽇志被分散储存不同的物理机。

集群⾜够⼤的话，使⽤上述传统的⽅式查阅⽇志变得⾮常不合适。

因此需要集中化管理分布式系统中的⽇志，其中有开源的组件如 syslog，⽤于将所有服务器上的⽇志收集汇总。

然⽽集中化⽇志⽂件之后，我们⾯临的是对这些⽇志⽂件进⾏统计和检索，哪些服务有报警和异常，这些需要有详细的统计。

所以在之前出现线上故障时，经常会看到开发和运维⼈员下载了服务的⽇志，基于 Linux 下的⼀些命令，如 grep、awk 和 wc 等，进⾏检索和统计。

这样的⽅式效率低，⼯作量⼤，且对于要求更⾼的查询、排序和统计等要求和庞⼤的机器数量依然使⽤这样的⽅法难免有点⼒不从⼼。

ELKB 分布式⽇志系统ELKB 是⼀个完整的分布式⽇志收集系统，很好地解决了上述提到的⽇志收集难，检索和分析难的问题。

ELKB 分别是指 Elasticsearch、Logstash、Kibana 和 Filebeat。

ELK日志分析系统搭建elk套件是指elasticsearch、logstash、kibana三件套，它们可以组成一套日志分析和监控工具。

本文说明安装过程和典型的配置过程，由于三个软件各自的版本号太多，建议采用官网（https://www.elastic.co/downloads）推荐的搭配组合，版本不搭会引起好多其他问题。

本文具体安装版本如下：elasticsearch版本：2.4.0logstash版本：2.4.0kibana版本：4.6.1redis版本：3.2.1jdk版本：1.8.0操作系统版本：Centos7.0ELK的典型部署图如下：安装过程1、安装Java下载JDK压缩包。

一般解压到 /user/local/ 下，形成 /usr/local/jdk1.8.0/bin 这种目录结构。

配置JAVA_HOME 环境变量：echo 'export JAVA_HOME=/usr/local/jdk1.8.0' >> ~/.bashrc 。

2、安装logstash使用root用户进行安装，实际上解压后直接运行就可以了# tar -zxvf logstash-2.4.0.tar.gz# cd logstash-2.4.0可通过bin/logstash -e 'input {stdin{}} output {stdout{}}'测试[root@localhost logstash-2.4.0]# bin/logstash -e 'input {stdin{}} output {stdout{}}'Settings: Default pipeline workers: 8Pipeline main started键入：hello elktest显示：2016-10-20T03:55:59.121Z localhost.localdomain hello elktest 表示把从标准输入设备输入的内容再通过标准输出设备输出。

ELK⽇志管理系统详细安装和配置ELK组成ELK由ElasticSearch、Logstash和Kiabana三个开源⼯具组成。

官⽅⽹站：Elasticsearch 是个开源分布式搜索引擎，它的特点有：分布式，零配置，⾃动发现，索引⾃动分⽚，索引副本机制，restful风格接⼝，多数据源，⾃动搜索负载等。

Logstash 是⼀个完全开源的⼯具，他可以对你的⽇志进⾏收集、过滤，并将其存储供以后使⽤（如，搜索）。

Kibana 是⼀个开源和免费的⼯具，它Kibana可以为Logstash 和 ElasticSearch 提供的⽇志分析友好的 Web 界⾯，可以帮助您汇总、分析和搜索重要数据⽇志。

1. 四⼤组件Logstash: logstash server端⽤来搜集⽇志；Elasticsearch: 存储各类⽇志；Kibana: web化接⼝⽤作查寻和可视化⽇志；Logstash Forwarder: logstash client端⽤来通过lumberjack ⽹络协议发送⽇志到logstash server；2. Elasticsearch 简介和安装(ELK的三个组建版本必须保持⼀致)2.1 ElasticSearch是⼀个基于Lucene的搜索服务器。

它提供了⼀个分布式多⽤户能⼒的全⽂搜索引擎，基于RESTful web接⼝。

Elasticsearch是⽤Java开发的，并作为Apache许可条款下的开放源码发布，是当前流⾏的企业级搜索引擎。

设计⽤于中，能够达到实时搜索，稳定，可靠，快速，安装使⽤⽅便。

2.2 从ELK官⽹下载Elasticsearch：下载elasticsearch-6.1.0.tar.gz的tar包后，使⽤ tar -xvf elasticsearch-5.2.1.tar 命令解压，使⽤cd命令进⼊⽂件夹⽬录；启动的时候⼀定要注意，因为es不可以进⾏root账户启动，所以你还需要开启⼀个elsearch账户。

ELK分布式⽇志收集搭建和使⽤⼤型系统分布式⽇志采集系统ELK全框架 SpringBootSecurity1、传统系统⽇志收集的问题2、Logstash操作⼯作原理3、分布式⽇志收集ELK原理4、Elasticsearch+Logstash+Kiabana整合5、Logstash将数据推送到ES6、Kibana图形界⾯展⽰ES⽇志信息搭建环境虚拟机要求：2G以上内存1.传统问题：传统系统⽇志收集的问题在传统项⽬中，如果在⽣产环境中，有多台不同的服务器集群，如果⽣产环境需要通过⽇志定位项⽬的Bug的话，需要在每台节点上使⽤传统的命令⽅式查询，这样效率⾮常底下。

通常，⽇志被分散在储存不同的设备上。

如果你管理数⼗上百台服务器，你还在使⽤依次登录每台机器的传统⽅法查阅⽇志。

这样是不是感觉很繁琐和效率低下。

当务之急我们使⽤集中化的⽇志管理，例如：开源的syslog，将所有服务器上的⽇志收集汇总。

集中化管理⽇志后，⽇志的统计和检索⼜成为⼀件⽐较⿇烦的事情，⼀般我们使⽤grep、awk和wc等Linux命令能实现检索和统计，但是对于要求更⾼的查询、排序和统计等要求和庞⼤的机器数量依然使⽤这样的⽅法难免有点⼒不从⼼。

命令⽅式:tail -n 300 myes.log | grep 'node-1' ##搜索某个⽇志在哪⾥tail -100f myes.log传统：分布式⽇志收集问题解决传统⽇志分布在每台节点的问题分散的。

在搜索⽇志时候⾮常繁琐（可以存放在redis哦，可以定时，但是不要存放在数据库中，不需要持久啊）ELK分布式⽇志收集系统介绍ElasticSearch是⼀个基于Lucene的开源分布式搜索服务器。

它的特点有：分布式，零配置，⾃动发现，索引⾃动分⽚，索引副本机制，restful风格接⼝，多数据源，⾃动搜索负载等。

它提供了⼀个分布式多⽤户能⼒的全⽂搜索引擎，基于RESTful web接⼝。

ELK单台⽇志收集系统的搭建对于运维来说搭建⽇志收集系统还是很有⽤的，没有它每次要看⽇志都要到服务器上⽤命令⾏查看，⽐较繁琐。

安装JDK在被收集服务器上安装filebeat收集访问⽇志，并发给elk服务器注：⽤logstash收集可以是可以的，但logstash会占⽤好多内存所以⽤filebeat。

tar xvf filebeat-1.3.0-x86_64.tar.gzmv filebeat-1.3.0-x86_64 /data/filebeat1.3.0修改配置⽂件,我收集项⽬的catalina和error⽇志。

cat /data/filebeat1.3.0/filebeat-app-catalina.yml |grep -vE '^ #|^ #|^#|^$| #'filebeat:prospectors:-paths:- /data/tomcat-app/logs/catalina.outinput_type: logdocument_type: 192.168.20.180_tomcat-app-catalina-logoutput:elasticsearch:hosts: ["192.168.20.22:9200"]index: "filebeat_192.168.20.22_app_catalina"shipper:logging:files:rotateeverybytes: 10485760 # = 10MB/data/filebeat/filebeat -e -c /data/filebeat1.3.0/filebeat-app-catalina.yml &ps -ef|grep filebeathladmin 5408 4219 0 Mar05 pts/1 00:00:27 /data/filebeat1.3.0/filebeat -e -c /data/filebeat1.3.0/filebeat-app-catalina.ymlcat filebeat-app-error.yml |grep -vE '^ #|^ #|^#|^$| #'filebeat:prospectors:-paths:- /data/tomcat-app/logs/app/error.loginput_type: logdocument_type: 10.139.49.180_tomcat-app-error-logoutput:elasticsearch:hosts: ["10.253.44.80:9220"]index: "filebeat_10.139.49.180_app_error"shipper:logging:files:rotateeverybytes: 10485760 # = 10MB/data/filebeat/filebeat -e -c /data/filebeat1.3.0/filebeat-app-error.yml &ps -ef|grep filebeathladmin 5408 4219 0 Mar05 pts/1 00:00:27 /data/filebeat1.3.0/filebeat -e -c /data/filebeat1.3.0/filebeat_tzp-app-catalina.ymlhladmin 5522 4219 0 Mar05 pts/1 00:00:24 /data/filebeat1.3.0/filebeat -e -c /data/filebeat1.3.0/filebeat_tzp-app-error.yml然后我们去到web页⾯配置收集⽇志点击Create创建点击可以看到⽇志了。

ELK收集⽹络设备⽇志ELK版本：elasticsearch-5.2.2 kibana-5.2.2 logstash-2.4.1 all plugins部署环境为单台服务器，未配置集群⼀、官⽹下载地址：https://www.elastic.co/downloads⼆、elasticsearch安装1、由于安装ELK需要jdk,因此没有jdk的，先安装1.8版本以上[root@ELK-1 ~]# rpm -ivh jdk-8u121-linux-x64.rpm2、下载并安装Elasticsearch[root@ELK-1 ~]# rpm -ivh elasticsearch-5.2.2.rpm3、编辑配置⽂件,主要修改以下⼏项[root@ELK-1 ~]# vi /etc/elasticsearch/elasticsearch.ymlpath.data: /data/elasticsearch #⽇志存储⽬录path.logs: /data/elasticsearch/log #elasticsearch启动⽇志路径network.host: 10.10.10.1 #这⾥是主机IPhttp.port: 9200 #api接⼝urlbootstrap.memory_lock: false #不锁定内存bootstrap.system_call_filter: false #需⾃⾏添加4、创建配置⽂件夹后启动[root@ELK-1 ~]# mkdir -pv /data/elasticsearch/log5、修改⽂件夹所属⽤户[root@ELK-1 ~]# grep elas /etc/passwd #查看安装elasticsearch时⾃动创建的⽤户[root@ELK-1 ~]# chown -R elasticsearch. /data/ #elasticsearch需使⽤该⽤户启动否则会报错6、修改内容参数，否则会报错[root@ELK-1 ~]# vim /etc/security/limits.conf # 在该⽂件最后的⼏⾏，修改配置如下：soft core unlimitedhard core unlimitedsoft nofile 65536hard nofile 131072soft nproc 2048hard nproc 4096[root@ELK-1 ~]# vim /etc/sysctl.conf # 在最下⾯添加如下内容：vm.max_map_count=655360[root@ELK-1 ~]# vi /etc/security/limits.d/90-nproc.conf找到如下内容：soft nproc 1024修改为soft nproc 2048[root@ELK-1 ~]# sysctl -p7、启动elasticsearch[root@ELK-1 ~]# service elasticsearch start三、Kibana安装1、下载并安装Kibana[root@ELK-1 ~]# rpm -ivh kibana-5.2.2-x86_64.rpm2、编辑配置⽂件,主要修改如下[root@ELK-1 ~]# vi /opt/kibana/config/kibana.ymlserver.port: 5601server.host: "10.10.10.10"elasticsearch.url: "http://10.10.10.10:9200"kibana.index: ".kibana“3、启动并检查是否安装成功[root@ELK-1 ~]# service kibana start[root@ELK-1 ~]# netstat -ntlp|grep 5601 #检查5601是否监听四、Logstash安装1、下载并安装Logstash[root@ELK-1 ~]# rpm -ivh logstash-2.4.1.noarch.rpm#默认安装位置：/opt/logstash2、创建配置⽂件#配置⽂件位置：/etc/logstash/conf.dsyslog的logstash配置如下：[root@ELK-1 ~]# cd /etc/logstash/conf.d[root@ELK-1 ~]# vi syslog.conf添加如下内容：input {syslog {port => "514"}}output {elasticsearch {hosts => ["10.10.10.10:9200"]index => "logstash_syslog-%{+YYYY.MM.dd}"}}3、启动logstash[root@ELK-1 ~]# service rsyslog stop #关掉系统原本的syslog服务，不然会占⽤514端⼝[root@ELK-1 ~]# nohup /opt/logstash/bin/logstash -f syslog.conf#最后去kibana上的Management上添加⼀个index pattern名为logstashsyslog就能使⽤啦五、kibana web管理界⾯配置1、打开http://10.10.10.10:5601/2.开始使⽤参考⽂献：参考⽂章：。

International Conference on Network, Communication, Computer Engineering (NCCE 2018)Mail Scheme Log Processing Based on ELK.Bu Yun a)School of Computer Science &Technology, Chongqing University of Posts and Telecommunications, Chongqing400065, Chinaa)Correspondingauthor:****************Abstract. With the continuous development of Internet technology, how to deal with and analyze a large number of data has become a hot spot. The mail system generates a large number of logs every day, and the traditional technology is not efficient in handling huge log data and is unable to make use of the information in the log. Proposing an information processing architecture based on ELK for mail logs to solve these problems. It ex-tracts information from logs by regular expressions, and define the concept of mail events, modeling data and storing them in graph database. The graph database is stored with the original graph of the data. When dealing with a large number of network relationships, it avoids the consumption of data connection in the traditional relational database. The experiment proves that the scheme can realize real-time processing and modeling storage of large moduli data and meet the needs of mail system.Key words: ELK; mail system; hot spot.; original graph; Internet technology.INTRODUCTIONWith the advent of the information age, e-mail has become an indispensable means of communication because of its convenience, speed, and cheap-ness. Users send emails frequently. The mail server generates a large number of logs. These logs contain a lot of valuable information. They record people's previous communication networks, communication habits, and even living habits. Mail is the medium for transmitting information.The effective analysis and processing of the mail log is an important task for the operation and management of the mail system. The mail server generates a large amount of data every day. Since most of the mail logs (such as smtpd, pop3, etc.) are not only large in data size, they also look obscure. In the face of the discovery of mail anomalies, and the need to check the delivery status of mail, if only relying on the manual work of the administrator to view the log records, each time a message is queried, it takes a minute or two, when the demand slightly increases. Large, the workload is very heavy, and the operation is inefficient and error-prone.The mail communication network is a complex flow network, similar to the social dynamic network diagram, without a fixed main structure. Everything has been continuously developed and updated over time [1]. In order to achieve rapid search and mining of these data in real time. This article provides a solution for processing mail logs, aiming to extract fragmented mail information for modeling, making it easier to use the information in the logs for data analysis and research.RELATED WORKThe Status of Email Log ResearchIn recent years, the processing and analysis of email logs has been one of the hot topics for researchers. Using email interaction data to mine user behavior patterns, Li Quangang et al. used Enron public data in the literature [1] to extract the structural features and functional characteristics of the mail network and used non-negative matrix factorization to calculate the basic behavioral units of the network, using vectors to represent User behavior pattern[1]. Yang Zhen et al. [2] also used the improved EM algorithm to determine mail labels in the Enron mail network. According to the interaction strength between users, a collaborative filtering mechanism was designed to filter spam [2]. Hu Tiantian et al. used JavaMail to parse the data in the literature [3], and then built a mail network, calculated the weighted center degree according to the node's connection center degree, closeness center and middle center degree, and excavated the modularity indication to mine the core community. [3]. Chen Bin et al [4] used the mail transfer protocol session log to analyze the behavior of the host based on the failed message in the log record and used the incremental passive attack learning algorithm to effectively adjust the host of the detected spam host. Recent mail classification behavior [4].The massive data processing generated by the mail server is often not a single node in the traditional technology. The distributed software processing framework provides a feasible solution to solve the impact brought by the information wave. Zhang Jianzhong and his colleagues used the ElaticSearch distributed indexing technology to perform distributed indexing and retrieval of resources in the literature [5]. The HDFS distributed file system was used to implement the university library resource retrieval system [5]. Bai Jun et al [6] proposed a software integration scheme based on ElasticSearch real-time large log data search. The experimental results show that with the increase in the number of logs, does not affect the search response time, indicating the feasibility of this program.Framework IntroductionWith the increase of data processing capacity, the storage, computing capacity and processing efficiency of a single node cannot meet the requirements of application scenarios. Traditional methods based on relational database management systems cannot handle analysis problems efficiently.ELK, which is a data processing tool chain consisting mainly of three open source software, Elasticsearch, Logstash, and Kibana, implements distributed and scalable data storage and search. It is a zero-configuration and easy-to-use full-text search mode, supporting distributed processing and supporting systems. Extensions.Elasticsearch, as an open source distributed search and data processing platform, is not only a database, but also an open source, distributed, RESTful-based information retrieval framework built on Lucene that enables real-time search, efficient retrieval, and adoption of JSON data formats. The Ruby DSL design pattern provides Aggregations-based statistics capabilities, while providing easy deployment and setup. The cluster can be easily extended to hundreds of servers to handle structured or unstructured data at the PB level, but it can also run on Single PC [7].Logstash can collect, analyze, and convert related network logs, store them for later use, store them in Elasticsearch, and convert/store them to other destinations. Logstash itself does not generate logs. It is only a pipeline that accepts a wide variety of log input and is processed and forwarded to multiple different destinations [8].Kibana can help aggregate, analyze, and search important data logs and provide a friendly visual interface.As one of the emerging NoSql, Neo4j is currently the most popular graphics database. It stores data in the form of nodes, edges, attributes, and graphs. It provides transaction operations similar to traditional databases for highly connected data, and at the same time It is also several orders of magnitude higher than traditional databases. For a meshed data structure, it turns out to be an ideal choice for dealing with complex data.APPLICATION IMPLEMENTATIONPreprocessing of data FiguresAn e-mail system is mainly composed of three parts: user agent, mail server, mail sending protocol (SMTP) and mail reading protocol. Log in to the email account, log out, delete emails, send emails, receive emails, and delete emails. These operations are logged. Taking the campus mail system as an example, there are 760,000 lines per day for access logs, and up to several million lines for passing logs.The data in the real world is incomplete, in-consistent, and most of the data is unstructured or semi-structured and cannot be used directly. In the experiment, incomplete log records were filtered out, and the daily generated logs were imported into Elasticsearch in JSON format. Visualized by Kibina, the log format in this experiment was as follows.FIGURE 1. visual logs in KibanaThis article selects the log of the message. The message contains the time of the operation, the name of the mail server, the action record, the ID of the current server, the email address, and the opera-tion status. By parsing the information of the mes-sage, you can understand the dynamic behavior of the mail in the current server.The Definition and Structure of Mail EventsIn order to effectively organize the data in the log, the event definitions in the mail log are given below.Definition 1: A complete mail event refers to the process of sending and receiving a mail in the network. Has the following properties:(1) The unique identifier of the mail.(2) Outgoing mailboxes and incoming emails.(3) Shipping time and receiving time.(4) Sending IP and receiving IP.(5) Mail delivery status.The sending relationship of the mail is in line with the graph of the network. We define nodes to represent users and mails, and edges represent the user's sending behavior to mails.SenderReceiver Sendtime Receivetime ReceiveipFIGURE 2. mail event modelAlgorithm DescriptionAccording to the definition requirements, in order to restore event events in a large number of tedious logs, it is logically divided into two steps. First, each message received from the beginning of the transmission to the first server becomes the only one on the server. The ID is identified and the event is restored using each of the above-mentioned IDs obtained after processing.1. Use a regular expression to extract the initial ID in the following log:Jul 28 20:58:39 mx postfix/smtpd[10206]: 8504634015B:Cli-ent= [14.17.44.30] AVYxleipJ4h_jrOyBL_DGet the initial ID set Q= {ids1, ids2..., idsn}.2. For j=1, 2..., n, get idsi∈Q, do3. Enter idsi,S:=Search(idsi), where S is the set of all idsi logs, S={p1,p2,...}.4. Traverse every log in S. The regular email address, the email address, the time of sending, the email, the unique ID of the email, the IP of the email, and the IP of the email in the log.5. Check the log for "status" and "queued as".(1) If "status" is included and the mail delivery status is extracted, the event is restored.(2) If "status" is not included, extract the ID containing the word "queued as" and repeat step 3.6. Take the next ID from Q and repeat step 3.Experimental ResultsThe mail event recovery document format and the import graph database neo4j are visualized as follows:FIGURE 3. mail event in TXT and Neo4jCONCLUSIONA traditional mail log processing method cannot meet the needs of large-scale enterprises or colleges and universities for mail systems. This paper proposes a data processing program based on the ELK software framework that can deal with a large number of mail logs in real time. By introducing the concept of mail events, it extracts the log information from the mail server and establishes a suitable model to achieve efficient query. Visualizing email dynamic network and user behavior has important use value for detecting spam and user behavior patterns.REFERENCES1.Li Jingang, Shi Jinqiao, Qin Zhiguang, Liu Hallwen. User Behavior Pattern Mining for Email Network EventMonitoring[J]. Chinese Journal of Computers, 2014,37(5): 1135-1146.2.Yang Zhen, Lai Yingxu, Duan Lijuan, Li Yujian, Xu Wei. Research on Collaborative Filtering Mechanism ofMail Networks[J]. Acta Automatica Sinica,2012,38(3):399-411.3.Hu Tiantian, Dai Hang, Huang Dongxu. CN-M Based Email Network Core Community Mining[J]. ComputerTechnology and Development. 2014, 24(11):9-12.4.Ian Robinson et al. Fig. Database [M]. Liu Wei et al. Beijing: People's Posts and Telecommunications Press,2016.5.Zhang Jianzhong, Huang Yanfei, Xiong Yongjun. Digital Library Retrieval System Based on ElasticSearch[J].Computer and Modernization. 2015, 6: 69-73.6.Bai Jun, Guo Hebin. Research on software integration scheme for real-time search of big logs based onElasticSearch[J]. Jilin Normal University (Natural Science Edition).2014,1:85-877.Chen Bin, Dong Yizhou, Mao Mingrong.Infrastructure learning algorithm-based campus network spamdetection model[J]. Journal of Computer Applications, 2017,37(1): 206-216.8.Gao Kai. Big Data Search and Log Mining and Visualization Scheme [M]. Beijing: Tsinghua University Press,2016.9.(U.S.) Ian Robinson et al. Fig. Database [M]. Liu Yi et al. Beijing: People's Posts and TelecommunicationsPress, 2016.10.Chen Bin, Dong Yizhou, Mao Mingrong.Infrastructure learning algorithm-based campus network spamdetection model[J]. Journal of Computer Applications, 2017,37(1): 206-216.。

elkfilebeat 搭建日记系统Elasticsearch散布式搜寻和剖析引擎。

拥有高可伸缩、高靠谱和易管理等特色。

鉴于Apache Lucene 建立，能对大容量的数据进行接近及时的储存、搜寻和剖析操作。

Logstash日记采集器。

采集各样数据源，并对数据进行过滤、剖析、格式化等操作，而后储存到Elasticsearch。

Kibana数据剖析和可视化平台。

与 Elasticsearch 配合使用，对此中数据进行搜寻、剖析、图表展现。

Filebeat一个轻量级开源日记文件数据采集器， Filebeat 读取文件内容，发送到 Logstash 进行分析后进入 Elasticsearch，或直接发送到Elasticsearch 进行集中式储存和剖析。

架构介绍鉴于 ELK 的使用方式， Logstash 作为日记采集器，Elasticsearch 进行日记储存， Kibana 作为日记体现，大概以下几种架构。

架构一图中Logstash 多个的原由是考虑到程序是散布式架构的状况，每台机器都需要部署一个Logstash，假如的确是单服务器的状况部署一个Logstash 即可。

前面提到Logstash 会对数据进行剖析、过滤、格式化等操作，这一系列操作对服务器的CPU 和内存资源的耗费都是比较高的，因此这类架构会影响每台服务器的性能，因此并不介绍采纳。

架构二对比于架构一，增添了一个MQ和Logstash，Logstash 的输出和输入支持Kafka 、Redis、RabbitMQ等常见信息行列，MQ 前的Logstash 只作为日记采集和传输，其实不分析和过滤，先将日记加入行列，由MQ 后边的Logstash 持续分析和过滤，这样就不至于每台服务器耗费费源都好多。

架构三这类架构是鉴于架构二简化来的，实质在使用过程中也是能够采纳的，日记直接进入MQ ，Logstash 花费MQ数据即可。

架构四这类架构在日记数据源和Logstash（或 Elasticsearch）中增添了Beats 。

ELK之⽇志收集系统之相关规范标准化EFK之解压后的安装包存放⽬录标准化安装包解压⽬录统⼀存放于⽬录/usr/local下例如，我们在前⾯安装 Kafka 时，⾸先需下载安装包，然后解压安装包，如：：# cd /opt/efk# curl -L -O https:///dyn/closer.cgi?path=/kafka/2.1.0/kafka_2.11-2.1.0.tgz# tar -xzf kafka_2.11-2.1.0.tgz# mv kafka_2.11-2.1.0 /usr/local安装包的名字为：kafka_2.11-2.1.0.tgz，解压后的⽬录⽂件为：kafka_2.11-2.1.0。

直接将解压后的⽬录⽂件移⾄/usr/local⽬录下，即可Kafka 相关配置标准化Kafka 之 broker 主配置⽂件标准化kafka可以在单机上配置多个不同的broker实例，然⽽broker的配置⽂件默认存放于/usr/local/kafka_2.11-2.1.0/config⽬录（当然基于上⾯定义的EFK之解压后的安装包存放⽬录标准化前提）的server.properties⽂件，这个配置⽂件却只有⼀个，我们将来可能会根据实际情况定义不同的broker 实例，所以要将server.properties先 copy ⼀份，然后另取⼀个名字。

在 broker 中，broker.id必须是唯⼀的。

因此我们在命名时定义如下标准。

server.properties的命名规范：在server字段后⾯加broker.id的值。

例如：第⼀个broker 实例的broker.id为0，则配置⽂件为：server0.properties；第⼆个broker实例的broker.id为1，则配置⽂件为：server1.properties；以此类推。

server.properties配置⽂件中log.dirs配置标准化：/tmp/kafka-logs-broker.id号例如：broker.id的值为0，则log.dirs的值为/tmp/kafka-logs-0；broker.id的值为1，则log.dirs的值为/tmp/kafka-logs-1Kafka 之消费者配置标准化根据我们使⽤Kafka时的理念，对不同应⽤类型的⽇志，定义不同的topic主题；⼀个topic分配了多个partition，然⽽每⼀个partition需要制定⼀个消费者消费其中的队列消息。

搭建ELK⽇志分析平台（上）——ELK介绍及搭建Elasticsearch分布式集群27.1 ELK介绍27.2 ELK安装准备⼯作27.3 安装es27.4 配置es27.5 curl查看es集群情况ELK介绍需求背景：业务发展越来越庞⼤，服务器越来越多各种访问⽇志、应⽤⽇志、错误⽇志量越来越多，导致运维⼈员⽆法很好的去管理⽇志开发⼈员排查问题，需要到服务器上查⽇志，不⽅便运营⼈员需要⼀些数据，需要我们运维到服务器上分析⽇志为什么要⽤到ELK：⼀般我们需要进⾏⽇志分析场景：直接在⽇志⽂件中 grep、awk 就可以获得⾃⼰想要的信息。

但在规模较⼤也就是⽇志量多⽽复杂的场景中，此⽅法效率低下，⾯临问题包括⽇志量太⼤如何归档、⽂本搜索太慢怎么办、如何多维度查询。

需要集中化的⽇志管理，所有服务器上的⽇志收集汇总。

常见解决思路是建⽴集中式⽇志收集系统，将所有节点上的⽇志统⼀收集，管理，访问。

⼤型系统通常都是⼀个分布式部署的架构，不同的服务模块部署在不同的服务器上，问题出现时，⼤部分情况需要根据问题暴露的关键信息，定位到具体的服务器和服务模块，构建⼀套集中式⽇志系统，可以提⾼定位问题的效率。

⼀个完整的集中式⽇志系统，需要包含以下⼏个主要特点：收集－能够采集多种来源的⽇志数据传输－能够稳定的把⽇志数据传输到中央系统存储－如何存储⽇志数据分析－可以⽀持 UI 分析警告－能够提供错误报告，监控机制⽽ELK则提供了⼀整套解决⽅案，并且都是开源软件，之间互相配合使⽤，完美衔接，⾼效的满⾜了很多场合的应⽤。

是⽬前主流的⼀种⽇志系统。

ELK简介：ELK是三个开源软件的缩写，分别为：Elasticsearch 、 Logstash以及Kibana , 它们都是开源软件。

不过现在还新增了⼀个Beats，它是⼀个轻量级的⽇志收集处理⼯具(Agent)，Beats占⽤资源少，适合于在各个服务器上搜集⽇志后传输给Logstash，官⽅也推荐此⼯具，⽬前由于原本的ELK Stack成员中加⼊了 Beats ⼯具所以已改名为Elastic Stack。

ELK监控nginx⽇志的整体流程⽬录ELK介绍⼀.nginx⼆.logstash三.kibana1.management添加索引2.Discover查看索引3.Visualize建⽴仪表盘模板4.Dashboard总结ELK介绍ELK即ElasticSearch + Logstash + kibanaES:作为存储引擎Logstash：⽤来采集⽇志Kibana可以将ES中的数据进⾏可视化，可以进⾏数据分析中常见的对属性求和、平均值、计数，按照时间戳或其他⽇志展⽰出来整体的流程就是先把logstash启动，读取nginx⽇志数据存储到ES中，再⽤kibana进⾏统计以及可视化⼀.nginx第⼀步需要先把nginx的⽇志格式修改为json格式，这样⽅便logstash读取找到配置⽂件位置，我的是在/usr/local/nginx/conf在其中添加log_format main_json '{"@timestamp": "$time_local", ''"remote_addr": "$remote_addr", ''"referer": "$http_referer", ''"request": "$request", ''"status": $status, ''"bytes": $body_bytes_sent, ''"agent": "$http_user_agent", ''"x_forwarded": "$http_x_forwarded_for", ''"up_addr": "$upstream_addr",''"up_host": "$upstream_http_host",''"up_resp_time": "$upstream_response_time",''"request_time": "$request_time"'' }';access_log logs/access.log main_json; # 引⽤⽇志格式名称改完以后⽇志的格式就会变为json字符串，如下所⽰{"@timestamp": "25/Feb/2022:10:58:15 +0800","remote_addr": "192.168.2.95","referer": "-","request": "GET /api/getScreenshot?url=/0e/bd/c12a3773/page.htm&path=/data2/ncs-cyber/mirror/page_image/situation_image/gdzx20211020/ddd38417-971b-400f-b430-834022c57d97.png&errorKeyWord=中国民族伟⼤复兴&successK "status": 304,"bytes": 0,"agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36","x_forwarded": "-","up_addr": "192.168.3.222:9848","up_host": "-","up_resp_time": "12.193","request_time": "12.193"}⼆.logstash接着便是写logstash配置⽂件了，⾃⼰写⼀个配置⽂件，我的名字叫做nginx-access.conf，配置如下input {file {path => ["/usr/local/nginx/logs/access.log"] # 读取⽇志⽂件的路径start_position => "beginning"codec => json { # 这⾥是将json字符串转化为json，不然的话会在es中存⼀个<属性,json字符串>charset => ["UTF-8"]}}}filter { # 简单处理，⽆过滤操作}output {elasticsearch {hosts => ["你的ip:port"] # 你的es的ip+端⼝index => "logstash-nginx-access-%{+YYYY.MM.dd}" # 你的索引名}stdout {codec => rubydebug}}这样配置完配置⽂件以后，就可以执⾏logstash指令了，根据配置⽂件，读取指定的⽇志⽂件logstash-6.7.2/bin/./logstash -f /home/xxx/nginx_access.conf --path.data=/home/xxx/logstash之后可以在es中查看⾃⼰新建⽴的索引由于我这⾥服务器的logstash和es都是已经部署好的，没有部署的话需要查看⼀下部署的教程，部署⼀下另外，⽇志采集其实也可以使⽤fleatbeats，是⼀个更加轻量易⽤的⽇志采集⼯具三.kibana接着就可以在kibana中对es索引进⾏可视化了1.management添加索引选择你在es中存储的索引，直接⼀路next。

elk的logstash详解ELK的Logstash详解什么是ELK？ELK是Elasticsearch、Logstash和Kibana三个开源工具的缩写，用于搭建实时日志分析系统。

其中，Logstash是ELK中的一部分，它是一个数据收集，处理和转发的工具。

Logstash的概述Logstash是一个开源的数据处理管道工具，用于收集、处理和转发不同来源的数据。

它支持从网络、本地文件、数据库等多种来源采集数据，并可以对数据进行加工，然后将数据发送到指定的目标。

Logstash的核心组件Logstash包含以下几个核心组件：1. 输入插件（Input Plugins）输入插件用于从不同来源采集数据。

Logstash提供了丰富的输入插件，如beats、file、jdbc等，允许用户从网络、本地文件、数据库等多种来源采集数据。

2. 过滤器插件（Filter Plugins）过滤器插件用于处理和转换输入的数据。

Logstash提供了多种过滤器插件，如grok、mutate、date等，可以在数据传输过程中对数据进行处理、解析和转换。

3. 输出插件（Output Plugins）输出插件用于将处理后的数据发送到指定的目标。

Logstash支持将数据发送到多个目标，如Elasticsearch、Kafka、Redis等。

用户可以根据自己的需求选择合适的输出插件。

4. 配置文件（Config File）Logstash使用一个配置文件来定义数据处理的管道。

这个配置文件由输入插件、过滤器插件和输出插件组成，用户可以根据自己的需求来配置数据处理过程。

Logstash的工作流程Logstash的工作流程简要如下：1.输入插件从指定来源采集数据。

2.过滤器插件对数据进行处理和转换。

3.输出插件将处理后的数据发送到指定的目标。

使用Logstash进行数据收集和处理的示例以下是一个使用Logstash进行数据收集和处理的示例配置文件：input {file {path => "/var/log/nginx/"}}filter {grok {match => { "message" => "%{COMBINEDAPACHELOG}" }}}output {elasticsearch {hosts => ["localhost:9200"]index => "nginx-access-log"}}上述配置文件的含义如下：•输入插件使用file插件从/var/log/nginx/文件中采集数据。

ELK⽇志系统：Filebeat使⽤及Kibana如何设置登录认证根据上的说法：Filebeat is a lightweight, open source shipper for log file data. As the next-generation Logstash Forwarder, Filebeat tails logs and quickly sends this information to Logstash for further parsing and enrichment or to Elasticsearch for centralized storage and analysis.F ilebeat⽐Logstash貌似更好，是下⼀代的⽇志收集器，ELK(E lastic + L ogstash + K ibana)以后估计要改名成EFK。

Filebeat使⽤⽅法：1、下载最新的filebeat地址：然后解压到任意⽬录2、修改filebeat下的filebeat.yml⽂件，参考以下内容：filebeat:prospectors:-paths:- "/var/log/nginx/*.log"input_type: logdocument_type: nginx-access-paths:- "/data/log/order/*.log"input_type: logdocument_type: order-service-paths:- "/opt/service/zhifu/logs/*.log"input_type: logdocument_type: zhifu-serviceoutput:elasticsearch:hosts: ["localhost:9200"]logging:files:rotateeverybytes: 10485760⾥⾯hosts⾥的内容，改成实际elasticsearch的地址。