“Elastic Stack”的版本间的差异
来自tomtalk
(→通用) |
(→Logstash) |
||
| 第8行: | 第8行: | ||
=Logstash= | =Logstash= | ||
| + | |||
| + | ==Hello World== | ||
| + | |||
| + | <source lang="bash"> | ||
| + | # bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}' | ||
| + | |||
| + | { | ||
| + | "@timestamp" => 2017-05-03T05:34:41.343Z, | ||
| + | "@version" => "1", | ||
| + | "host" => "elk", | ||
| + | "message" => "hello world" | ||
| + | } | ||
| + | </source> | ||
| + | |||
| + | Logstash会给事件添加一些额外信息。最重要的就是 @timestamp,用来标记事件的发生时间。 | ||
| + | |||
| + | 此外,大多数时候,还可以见到另外几个: | ||
| + | * host 标记事件发生在哪里。 | ||
| + | * type 标记事件的唯一类型。 | ||
| + | * tags 标记事件的某方面属性。这是一个数组,一个事件可以有多个标签。 | ||
| + | |||
| + | 每个logstash过滤插件,都会有四个方法: | ||
| + | 1. add_tag | ||
| + | 2. remove_tag | ||
| + | 3. add_field | ||
| + | 4. remove_field | ||
=Elastic Search= | =Elastic Search= | ||
2017年5月3日 (三) 06:11的版本
通用
- 安装java8,java9不兼容。
- ElasticSearch、Kinaba在config里默认是用localhost,指定IP,否则用IP无法访问。
Beats
Logstash
Hello World
# bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}' { "@timestamp" => 2017-05-03T05:34:41.343Z, "@version" => "1", "host" => "elk", "message" => "hello world" }
Logstash会给事件添加一些额外信息。最重要的就是 @timestamp,用来标记事件的发生时间。
此外,大多数时候,还可以见到另外几个:
- host 标记事件发生在哪里。
- type 标记事件的唯一类型。
- tags 标记事件的某方面属性。这是一个数组,一个事件可以有多个标签。
每个logstash过滤插件,都会有四个方法: 1. add_tag 2. remove_tag 3. add_field 4. remove_field
Elastic Search
Linux max_map_count参数修改的问题
vm.max_map_count=200000直接写到/etc/sysctl.conf中,然后执行sysctl -p
