ELK - andyceo/documentation GitHub Wiki

Elasticsearch

  • Проверить Elasticsearch после установки:

      curl http://localhost:9200
    
  • Список индексов и их псевдонимов в кратком виде:

      curl http://localhost:9200/_aliases?pretty=true
    
  • В развернутом:

      curl 'http://localhost:9200/_cat/indices?v&pretty=true'
    

    Кавычки обязательны, иначе bash выдаст ошибку.

  • В контексте шардов:

      curl 'http://localhost:9200/_cat/shards?v&pretty=true'
    
  • Проверить здоровье:

      curl 'http://localhost:9200/_cat/health?v&pretty=true'
    
  • Проверить состояние кластера:

      curl 'http://localhost:9200/_cluster/state?pretty=true'
    

Вместо localhost вставьте имя сервера, где работает Elasticsearch.

Терминология:

  • нода - процесс с данными и настройками. Даже одна нода - это кластер
  • документ - это какой-то json-объект
  • индекс - это аналог базы данных. Коллекция документов
  • тип - аналог таблицы в бд. Произвольное имя, описывающее похожие по структуре документы. Документы в индексе можно организовать по типам
  • маппинг - схема документа, которая получается (автоматически) при индексировании документа в Elasticsearch
  • все служебные ключи (поля) начинаются с подчеркивания. ключ _source содержит оригинал проиндексированного документа, его сохранение можно отключить, по нему все равно ничего не ищется

Ссылки по теме удаления (чистки) устаревших данных:

Ссылки:

Filebeat

Filebeat работает на основе двух компонентов: старатели (inputs, в прошлом prospectors, переименовано с версии Filebeat 6.3) и сборщики (harvesters). Старатели отвечают за управление сборщиками и нахождение всех источников из которых сборщикам нужно читать. Сборщики читают каждый файл строку за строкой и посылают контент в выходной поток, а также ответственны за открытие и закрытие файлов.

Конфиг-файл расположен тут: /etc/filebeat/filebeat.yml. В докер-образе, тут: /usr/share/filebeat/filebeat.yml.

Можно добавлять поля к ... ивенту? мессаджу? каждая строчка, прочитанная сборщиком, является ивентом? мессаджем?

Logstash

Logstash используется для сбора данных из разрозненных источников и нормализации данных для принимающей стороны по вашему выбору.

У Logstash два типа конфигурационных файлов: конфигурационные файлы pipeline, которые задают обрабатываюший pipeline, и файлы настроек, которые определяют конкретные параметры что контролируют старт и выполнение Logstash.

Настроим Logstash для сбора данных из Filebeat

Для этого, создайте пайплайн, вставьте в конфигурацию плагины входа, выхода и фильтра.

Securing Filebeat-Logstash Connection

Docker

Другие полезные ссылки

⚠️ **GitHub.com Fallback** ⚠️