ELK-1-ELK简介

一，ELK简介

           ELK是三个开源软件的缩写，分别为：Elasticsearch 、 Logstash以及Kibana , 它们都是开源软件。不过现在还新增了一个Beats，它是一个轻量级的日志收集处理工具(Agent)，Beats占用资源少，适合于在各个服务器上搜集日志后传输给Logstash，官方也推荐此工具，目前由于原本的ELK Stack成员中加入了 Beats 工具所以已改名为Elastic Stack,Elastic Stack包含：
Elasticsearch:是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。（存储，查询）详细可参考Elasticsearch权威指南

Logstash :主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。（日志收集，过滤，筛选）
Kibana: 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助汇总、分析和搜索重要数据日志。（提供界面查询日志）

         每个工具的核心作用，上面用红色的字体标识出来了。

二，为什么使用ELK

      上面看了ELK的简介，有发现ELK的作用吗？我们为什么要使用ELK了？其实最主要的作用就是为了快速方便根据日志来查询需要数据，定位和分析问题。

            假如一个公司有多个系统，比如，10个，20个，100个...........，然后用户反馈出现了问题，你如何去定位问题了。如果只有几个系统，你又有权限，完全可以到生产服务器去看日志，然后定位问题，但是也存在一个问题日志文件那么多，你如何从中找到你需求的信息，这是第一个问题。

             还是上面的假如，说少一点，如果有几十上百个系统，可能系统还存在分布式部署，集群部署，那么你又该如何找到对应的机器，拿到你所需要的日志。如果从众多系统众多机器中拿到所需要的日志，这是第二个问题。

            大部分注重安全的公司，生产服务器的日志不是谁都能拿的，需要一定的权限，或者找相关的人才能拿到，每次如果出问题了，你到处找人拿日志，然后一个系统一个系统去定位，一台机器一台机器拿日志，我想你不嫌麻烦，给你拿日志的人也被你烦死了。传统查看日志定位问题的效率低，费力，这就是第三个问题。          

         在用户少，数据量少的时候，我们可能都是把系统的日志打印在服务器本地，出问题了，就像上面一样去服务器拿日志然后定位问题，如果系统存在集群的情况，定位问题又变麻烦些了。所以有没有办法把不同机器，不同系统的日志都统一收集起来，然后通过一个地方去查询呢？这样的话，如果出了问题，不需要到机器拿日志查看，直接在那个地方查询某个系统的日志就行了，提升了效率，节约了成本。

         ELK就是一种解决上面三个问题的一种方式。使用logstash（felibeat）客户端收集日志，然后汇总到logstash进行筛选，过滤，然后写入Elasticsearch中，最后通过Kibana提供的界面来查询日志。

 ELK的简介就介绍到这里，后面的博文会介绍ELK相关的安装，使用，各个软件相关的协助，怎么串联起来。