如何使用ELK分析Apache日志

使用ELK分析Apache日志的步骤如下：

1. 日志采集：通过Filebeat轻量级采集器实时监控Apache日志文件（如access.log），并转发至Logstash。
   • 配置示例：在Filebeat的filebeat.yml中指定日志路径及Logstash接收端口（如5044）。
2. 日志解析：在Logstash中使用grok插件解析日志，提取关键字段（如客户端IP、请求时间、状态码等）。
   • 常用模式：%{COMBINEDAPACHELOG}可直接解析Apache默认格式日志，无需自定义正则。
   • 示例配置：

     filter {  
       grok { match => { "message" => "%{COMBINEDAPACHELOG}" } }  
       date { match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"] }  
     }  
     

3. 数据存储：将解析后的日志数据存入Elasticsearch，按日期分片创建索引（如apache-access-YYYY.MM.dd）。
4. 可视化分析：通过Kibana创建仪表盘，展示访问趋势、状态码分布、地理来源等图表。
   • 操作步骤：在Kibana中选择对应索引，使用“Visualize”功能添加图表，保存至仪表盘。

关键组件作用：

• Filebeat：轻量级采集，支持日志轮转和断点续传。
• Logstash：解析、过滤、转换日志格式，支持多种插件扩展。
• Elasticsearch：分布式存储和检索，支持复杂查询。
• Kibana：可视化展示，支持实时监控和告警配置。

参考资料：