https://www.cnblogs.com/huazai007/articles/11642656.html
ELK 官網:
https://www.elastic.co/cn/what-is/elk-stack
ElasticSearch
ElasticSearch 是一個高可用開源全文檢索和分析組件。提供存儲服務,搜索服務,大數據準實時分析等。一般用於提供一些提供複雜搜索的應用
基本概念:
Index
定義:類似於mysql中的database。索引只是一個邏輯上的空間,物理上是分爲多個文件來管理的。
命名:必須全小寫
描述:在實踐過程中每個index都會有一個相應的副 本。主要用來在硬件出現問題時,用來回滾數據的。這也某種程序上,加劇了ES對於內存高要求。
Type
定義:類似於mysql中的table,根據用戶需求每個index中可以新建任意數量的type。
Document
定義:對應mysql中的row。有點類似於MongoDB中的文檔結構,每個Document是一個json格式的文本
Mapping
更像是一個用來定義每個字段類型的語義規範。在mysql中類似sql語句,在ES中經過包裝後,都被封裝爲友好的Restful風格的接口進行操作。
這一點也是爲什麼開發人員更願意使用ES的原因。
Shards & Replicas
定義:能夠爲每個索引提供水平的擴展以及備份操作。保證了數據的完整性和安全性
描述:
Shards:在單個節點中,index的存儲始終是有限制,並且隨着存儲的增大會帶來性能的問題。爲了解決這個問題,ElasticSearch提供一個能夠分割單個index到集羣各個節點的功能。你可以在新建這個索引時,手動的定義每個索引分片的數量。
Replicas:在每個node出現宕機或者下線的情況,Replicas能夠在該節點下線的同時將副本同時自動分配到其他仍然可用的節點。而且在提供搜索的同時,允許進行擴展節點的數量,在這個期間並不會出現服務終止的情況。
默認情況下,每個索引會分配5個分片,並且對應5個分片副本,同時會出現一個完整的副本【包括5個分配的副本數據】。
解釋一下上面的圖:有多臺服務器,服務器都有log日誌,這些服務器上的日誌交給logstash複製收集服務器上的日誌(端口監聽爲:9600),然後在交給elasticsearch進行存儲日誌,搜索日誌,(http:9200客戶端使用,客戶端爲logstash,kibana;tcp:930集羣間通信使用的),然後在kibana將數據展示(http://ip:5601),最後運維工程師直接訪問kibana就可以看到日誌了(訪問是IP+5601)