ELK

一、ELK介紹

😄

“ELK”是三個開源項目的首字母縮寫，這三個項目分別是：Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一個搜索和分析引擎。Logstash 是服務器端數據處理管道，能夠同時從多個來源采集數據，轉換數據，然后將數據發送到諸如 Elasticsearch 等“存儲庫”中。Kibana 則可以讓用戶在 Elasticsearch 中使用圖形和圖表對數據進行可視化。

簡單來說，E就是用來做內容檢索，L用來做日志文本處理，K用來做圖形化展示。

二、ELK應用場景

😄

1、應急響應，日志分析(咱們主要用來做這個)

2、微服務架構項目，收集各個服務的日志。

3、分布式部署項目，需要收集日志。

三、ELK搭建

😄

1、我們使用dokcer搭建比較方便(docker環境自行搭建)

2、下載ELK環境(https://github.com/deviantony/docker-elk)

3、進入ELK目錄，運行docker-compose up -d

4、運行docker ps -a 查看ELK是否運行成功(運行成功是啟3個服務，STATUS狀態都為UP即可，注意以下服務的幾個端口不要被占用)

5、打開瀏覽器，訪問127.0.0.1:9200，默認賬號為elastic,密碼為changeme

6、訪問127.0.0.1:5601,賬號密碼如圖，注意內存必須4G以上，否則訪問頁面會崩，如果看到這恭喜你ELK已經搭建成功！！！

四、ELK簡單使用

😄

1、登錄成功后，點擊upload a file可上傳一個日志文件(以下使用一個web日志來做演示)

2、直接將文本文件拖入即可

3、等待上傳完成后點擊導入，文件名字隨便取，導入并等待

4、滾動條往下拖，點擊View index in Discover

5、頁面功能介紹

6、點擊左邊的字段名后面的+，可將該字段的內容添加到右邊的展示列表中(常用字段名介紹 Time:時間，agent:瀏覽器操作系統版本信息，bytes:字節數，clientip:請求IP，message:完整信息，request:請求url，response:響應狀態碼，verb:請求方式)添加完成后，列表如下圖所示

7、通過檢索對列表進行查找，可以直接輸入想查找的內容進行查詢或者通過某個字段進行查找

8、通過過濾進行檢索，在鼠標指到列表中的某個內容時后面會出現一個加號，點擊添加會直接進行檢索

五、總結

😄

? 總體來說，如果大家要去做應急響應或者日志分析時可以使用ELK，將想要分析的文本上傳上去，可以快速檢索到大家想要的內容，找到問題所在，其他功能大家自己可以繼續摸索。