elk收集windows日志

一、windows安裝logstash

　　1. 安裝過程

　　logstash安裝需要java環境支持，需先安裝jkd1.8。

　　官網下載logstash安裝包，下載地址：https://www.elastic.co/cn/downloads/logstash，下載zip文件logstash-6.5.4.zip,解壓到某個目錄下。

　　在bin目錄下運行命令：logstash -e "input { stdin { } } output { stdout {}}"

　　然后你會發現終端在等待你的輸入。沒問題，敲入 Hello World，回車，Logstash會將時間戳和IP地址信息加入輸出的消息。按下CTRL-C可以從命令行退出Logstash。

　　

　　

    2. logstash 工作原理

　　在logstash中，包括了三個階段:

　　輸入input --> 處理filter（不是必須的） --> 輸出output

　　每個階段都由很多的插件配合工作，比如file、elasticsearch、Redis等等

　　每個階段也可以指定多種方式，比如輸出既可以輸出到elasticsearch中，也可以指定到標准輸出stdout在控制台打印。

　　

　　

　　3. 命令行中常用的命令

-e：后面跟着字符串，該字符串可以被當做logstash的配置（如果是“” 則默認使用stdin作為輸入，stdout作為輸出）

-f：通過這個命令可以指定Logstash的配置文件，根據配置文件配置logstash：
    /bin/logstash -f /etc/logstash/conf.d/nginx_logstash.conf

二、配置logstash

　　為了收集windows系統上的php錯誤日志，需要新建logstash配置項，在bin目錄下新建一個logstash.conf文件。內容如下：

　　

input {
            file {
                    path => "D:/php/logs/php_error.log"    ******（要收集的日志文件）
                    type => "php_error"
            }
    }

filter {
          if ([message] =~  "^(?!.*?Fatal).*$") {          *******（正則過濾，丟棄不包含Fatal的日志內容）
             drop {}
          }        
      if ([message] =~  "Maximum.*$") {　　　　　　　　　　　  *******（正則過濾，丟棄包含指定字符串的日志內容）　　　
             drop {}
          }
      ruby { 
       code => "event['index_day']=event.timestamp.time.localtime.strftime('%Y.%m.%d')"   *****（lg默認時區是utc，自定義日期，方便輸出es索引）
   } 
    
}

output {
        elasticsearch {                                 **********（es收集結果） 
             hosts => "192.168.1.13" 
            index => "erp_php_error_%{index_day}"
        }
    
    }

　　CMD啟動logstash：

　　　　C:\Users\admin\Desktop\logstash-6.5.4\bin\logstash.bat -f C:\Users\netadmin\Desktop\logstash-6.5.4\bin\logstash.conf

　　可通過查看es索引查看結果。

三、安裝kibana

　　elk官網下載kibana kibana-5.4.3-linux-x86_64.tar.gz（從版本6.0.0開始,Kibana僅支持64位操作系統）

　　# tar xf kibana-5.4.3-linux-x86_64.tar.gz  -C /usr/local/　　
　　# ln -s kibana-5.4.3-linux-x86_64/ kibana
　　修改配置文件config/kibana.yml
　　# vim config/kibana.yml
　　 #端口
    server.port: 5601
    #主機
    server.host: "0.0.0.0"
    #es的地址
    elasticsearch.url: "http://192.168.1.13:9200"
    #kibana在es中的索引
    kibana.index: ".kibana"

　　　前台啟動kibana ：   ./bin/kibana

　　　后台啟動kibana： nohup ./bin/kibana &

　　　關閉kibana　　　

[root@localhost bin]# ps -ef | grep node
root 3607 3247 1 13:49 pts/1 00:00:06 ./../node/bin/node --no-warnings ./../src/cli
root 3680 3247 0 13:56 pts/1 00:00:00 grep --color=auto node
[root@localhost bin]# kill -9 3607

 　      瀏覽器輸入ip:5601訪問kibana界面

　　　kibana使用可參考網上其他資料