ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTFul web接口。ElasticSearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。ElasticSearch常用于全文检索，结构化检索，数据分析等。

下面，我们以ElasticSearch接管Linux日志（/var/log/xxx.log）为例，详细介绍如何进行配置与部署。

总体架构图

一，准备工作

1，CVM及ElasticSearch

在腾讯云帐号下，申请一台CVM（Linux操作系统）、一个ElasticSearch集群（后面简称ES），使用最简配置即可；申请的CVM和ES，必须在同一个VPC的同一个子网下。

CVM详情信息

ElasticSearch详情信息

2，Filebeat工具

为了将Linux日志提取到ES中，我们需要使用Filebeat工具。Filebeat是一个日志文件托运工具，在你的服务器上安装客户端后，Filebeat会监控日志目录或者指定的日志文件，追踪读取这些文件（追踪文件的变化，不停的读），并且转发这些信息到ElasticSearch或者logstarsh中存放。当你开启Filebeat程序的时候，它会启动一个或多个探测器（prospectors）去检测你指定的日志目录或文件，对于探测器找出的每一个日志文件，Filebeat启动收割进程（harvester），每一个收割进程读取一个日志文件的新内容，并发送这些新的日志数据到处理程序（spooler），处理程序会集合这些事件，最后Filebeat会发送集合的数据到你指定的地点。

官网简介：https://www.elastic.co/products/beats/filebeat

二，操作步骤

1，Filebeat下载与安装

首先，登录待接管日志的CVM，在CVM上下载Filebeat工具：

然后，进行安装filebeat：

至此，Filebeat安装完成。

2，Filebeat配置

进入Filebeat配置文件目录：/etc/filebeat/

其中，filebeat.yml就是我们需要修改的配置文件。建议修改配置前，先备份此文件。

然后，确认需要对接ElasticSearch的Linux的日志目录，我们以下图（/var/log/secure）为例。

/var/log/secure日志文件

使用vim打开/etc/filebeat/filebeat.yml文件，修改其中的：

1）Filebeat prospectors类目中，enable默认为false，我们要改为true

2）paths，默认为/var/log/*.log，我们要改为待接管的日志路径：/var/log/secure

3）Outputs类目中，有ElasticSearchoutput配置，其中hosts默认为”localhost:9200″，需要我们手工修改为上面申请的ES子网地址和端口，即**”10.0.3.8:9200″**。

修改好上述内容后，保存退出。

修改好的配置文件全文如下：

执行下列命令启动filebeat

3，Kibana配置

进入ElasticSearch对应的Kibana管理页，如下图。

首次访问Kibana默认会显示管理页

首次登陆，会默认进入Management页面，我们需要将Index pattern内容修改为：filebeat-*，然后页面会自动填充**Time Filter field name，**不需手动设置，直接点击Create即可。点击Create后，页面需要一定时间来加载配置和数据，请稍等。如下图：

将Index pattern内容修改为：filebeat-*，然后点击Create

至此，CVM上，/var/log/secure日志文件，已对接到ElasticSearch中，历史日志可以通过Kibana进行查询，最新产生的日志也会实时同步到Kibana中。

三，实战效果

日志接管已完成配置，如何使用呢？

如下图：

在Index Patterns中可以看到我们配置过的filebeat-*

点击Discover，即可看到secure中的所有日志，页面上方的搜索框中输入关键字，即可完成日志的检索。如下图（点击图片，可查看高清大图）：

使用Kibana进行日志检索

实际上，检索只是Kibana提供的诸多功能之一，还有其他功能如可视化、分词检索等，还有待后续研究。