Logstash Shipper和Logstash索引器在ELK堆棧中的作用是什麼？

Question

我一直在線學習關於我的新項目的ELK堆棧。

雖然大部分科技博客都是關於如何設置ELK的。

雖然我需要更多信息開始。

1. 什麼是Logstash？此外，Logstash託運人和索引。
2. Elasticsearch的作用是什麼？

如果不是正確的答案，任何線索將被讚賞。

Answer 1

我會嘗試用一個例子來向你解釋麋鹿堆棧。

應用程序生成日誌，這些日誌在羣集中的任何計算機上都具有相同的格式（時間戳|日誌級別|消息），並將這些日誌寫入某個文件。

Filebeat（來自elk的logshipper）跟蹤該文件，定期收集文件的所有更新並將它們轉發到網絡上的logstash。與logstash不同的是，Filebeat是一個使用很少資源的輕量級應用程序，因此我不介意在羣集中的每臺計算機上運行它。它會注意logstash何時關閉，並等待傳輸數據，直到logstash再次運行（沒有日誌丟失）。

Logstash通過網絡接收來自所有日誌轉發器的消息，並將過濾器應用於消息。在我們的例子中，它將每個條目分成時間戳，日誌級別和消息。這些是獨立的字段，可以稍後輕鬆搜索。任何不符合該格式的消息都會得到一個字段：無效的日誌格式。這些帶有字段的消息現在被轉發到彈性搜索可以處理的速度的彈性搜索。

彈性搜索存儲所有消息和索引（準備快速搜索）消息中的所有字段。這是我們的數據庫。

然後，我們使用Kibana（也來自麋鹿）作爲GUI訪問日誌。在kibana中，我可以執行如下操作：向我顯示今天下午3-5點之間的所有日誌，其中包含MyClass消息的loglevel錯誤。 Kibana會詢問彈性搜索的結果並顯示它們