最新版 ELK W10 单机搭建 几个提示

首先感谢 某独立网站站长 的国内镜像  你要的国内镜像都有√

亲测版本 7.8.0  部署过程中出现本文未提到的问题，百度上都有，请根据报错提示仔细检查！

第一：可以不额外下载 filebeat。logstash 直接读取日志(input)，输出到自己的elasticsearch(output)，详情请看第二。

第二：可以不安装为系统服务。e、l、k都可以单独命令行启动(e、l、k即为启动顺序)，其中logstash需要指定自定义的配置文件(请自行百度，示例：logstash.conf)

input {

  file {

    codec => json

    path => "你的日志文件全路径"

  }

}

filter {

  grok {

    match => {

        # 消息格式仅作参考

      "message"=> "%{TIMESTAMP_ISO8601:timestamp}\s+%{LOGLEVEL:severity}\s+\[%{DATA:service},%{DATA:trace},%{DATA:span},%{DATA:exportable}\]\s+%{DATA:pid}---\s+\[%{DATA:thread\]\s+%{DATA:class}\s+:\s+%{GREEDYDATA:rest}"

      }

  }

}

output {

  elasticsearch {

    hosts => "localhost:9200"   # 请使用自己的 es host

  }

}

第三：ELK启动正常，怎么管理index？打开你的kibana首页(一般是http://localhost:5601)，往下看 Manage and Administer the Elastic Stack 的 Spaces，点击进入后看左侧，找到Index patterns，点击查看index列表，若要新建logstash的index，点击新建输入pattern为 logstash-* ，若各步骤无误，当能匹配到logstash源。

第四：可以直接查看logstash输入的log。点击最左上角菜单按钮 (俗称三横杠，就像“三”吶)，找到 Logs，进入此页面如果没有配置 filebeats一般是什么都没有，可以修改 Settings（Stream右边），在 Log indices 那里，删去或者直接加 logstash-* ，完了之后页面往下拉，看到 Log Columns，把默认的删掉，点击 add column，至少要选一个 @timestamp，message, span等等，之后 Apply !  回到 Stream，自动刷新，大功告成！