Clozzz的博客

安装elasticsearch：1.解压安装包（我这里用的是elasticsearch6.2.2版本）tar -zxvf2.切换用户su xxx（elasticsearch不能在root用户下启动）如需增加用户并设置密码：useradd xxxpasswd xxx3.移动解压好的文件到soft文件夹下（个人习惯把应用都放在soft文件夹下）mv elasticsearch-6.2.2 soft/elasticsearch4.修改配置参数vi elasticsearch

一、elasticsearch数据模型Index：索引，由多个Document组成Type：索引类型，6.x中仅支持一个，以后将逐渐被移除Document：文档，由多个field组成，Field：字段，包括字段名与字段值二、Document管理PUT/POST/GET/DELETE http://ip:端口/索引名称/类型/主键创建：PUT、POST请求查询：GET请求删除：DELETE请求二、创建elasticsearch数据库PUT 库名{“settings”:{

1、在grok中可以使用正则来匹配相应的日志记录%{IP:client_id_address} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:http_response_time} grok中自带了120多种正则的匹配表达式，但个人建议还是自己根据要求去写对应的正则表达式，完全没有必要去记住grok中自带的正则表达式。相应的在日志文件中的内容如下：# /etc/logstash/conf.d/01-..

json语句：{ "name":"zhangsan", "friends": { "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] }}预期的解析格式：{ "name":"zhangsan", "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"]}logstash配置文件写法：input { stdin {