在搜索ELK资料的时候，发现这篇文章比较好，于是摘抄一小段： 以下内容来自：http://baidu.blog.51cto.com/71938/1676798日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷，性能安全性，从而及时采取措施纠正错误。通常，日志被分散的储存不同的设备上。如果你管理数十上百台服务器，你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉

logstash接收kafka插件，已经压缩成zip格式，可以直接集成到logstash

Logstash的配置文件包括grok,字段分隔，字段移除，日志中日期替换@timestamp，动态索引根据日志日期生成等等...... Filebeat日志多行合并，日志分类索引等等...... 注意修改配置文件中关于Logstash及Elasticsearch的IP地址的配置

input{ jdbc{ #是否记录上次执行结果, 如果为真,将会把上次执行到的 tracking_column 字段的值记录下来,保存到 last_run_metadata_path 指定的文件中 record_last_run => true #是否需要记录某个column 的值,如果 record_last_run 为真,可以自定义我们需要 track 的 column 名称，此时该参数就要为 true. 否则默认 track 的是 timestamp 的值. use_column_value => true #如果 use_column_value 为真,需配置此参数. track 的数据库 column 名,该 column 必须是递增的.比如：ID. tracking_column => MY_ID #指定文件,来记录上次执行到的 tracking_column 字段的值 #我们只需要在 SQL 语句中 WHERE MY_ID > :last_sql_value 即可. 其中 :last_sql_value 取得就是该文件中的值(10000). last_run_metadata_path => "/etc/logstash/run_metadata.d/my_info" #是否清除 last_run_metadata_path 的记录,清除相当于从头开始查询所有的数据库记录 clean_run => false #是否将 column 名称转小写 lowercase_column_names => false #存放需要执行的 SQL 语句的文件位置 statement_filepath => "/etc/logstash/statement_file.d/my_info.sql" } }

Windows安装ELK步骤具体的使用说明，详细的也可点击本人博客搜索了解。支持Windows和linux下安装使用，elk一般用作日志监控平台等等，提供高效快速的数据搜索和大容量的存储，配合kafka异步，实现高性能。

logstash jdbc插件，已压缩成zip格式，可以直接集成到logstash

自测好用，请大佬们警惕部分博主用源码包或其他包代替程序包。避免上当

基于VMware实现 ElasticSearch集群+Logstash集群+Kibana+kafka集群+Filebeat 实现日志管理系统

本人完全从Linux零基础一步步摸索总结出来的部署步骤。 ELK大致工作流程：Filebeat → Redis → Logstash → Elasticsearch → Kibana，Elastalert定时查询Elasticsearch保存的数据，当数据符合设定的规则时触发告警，发送 短信、微信、邮件通知。 ELK相关软件的版本都是7.2.0，Redis是5.0.4版本，Elastalert是0.1.39（需安装Python2），CentOS7.3。

这个资源可以直接使用 ./logstash-plugin install file:///path/to/logstash-input-jdbc-4.2.3.zip 这种命令安装；不需要联网；适用于logstash-5.5.3左右版本使用