1. 概述

ELK Stack 是用于日志收集、分析与可视化的经典技术组合，广泛应用于生产环境监控。本文将介绍 ELK 的核心组件及其工作原理，并通过一个 Docker 实践示例帮助你快速上手。

ELK 是 Elasticsearch、Logstash 和 Kibana 三个工具的合称。它们分别承担数据存储、数据处理与数据展示的职责，协同工作以实现日志的全链路管理。

2. ELK 架构解析

ELK 架构如下图所示：

各组件职责如下：

Elasticsearch：作为分布式搜索引擎，用于存储结构化和非结构化数据，并提供高效的全文检索能力。

Logstash：是一个数据处理流水线，负责从多种来源收集、过滤和转换日志数据，再发送到 Elasticsearch。

Kibana：提供可视化界面，支持对 Elasticsearch 中的数据进行查询、图表展示及仪表盘构建。

通常，多个 Logstash 实例部署在不同节点上，将日志收集后统一发送至 Elasticsearch 集群。也可以使用 Beats（轻量级数据采集器）作为替代方案，将数据直接发送到 Logstash 或 Elasticsearch。

3. 搭建 ELK 环境

我们使用 Docker Compose 快速搭建一个 ELK 环境：

version: '3.7'

services:

elasticsearch:

image: docker.elastic.co/elasticsearch/elasticsearch:8.15.0

container_name: elasticsearch

environment:

- discovery.type=single-node

- cluster.name=kernel-logs

- node.name=node-1

- xpack.security.enabled=false

ports:

- "9200:9200"

volumes:

- esdata:/usr/share/elasticsearch/data

networks:

- elk

logstash:

image: docker.elastic.co/logstash/logstash:8.15.0

container_name: logstash

depends_on:

- elasticsearch

ports:

- "5044:5044"

volumes:

- ./logstash/config/logstash.yml:/usr/share/logstash/config/logstash.yml

- ./logstash/pipeline:/usr/share/logstash/pipeline

- /var/log/syslog:/var/log/syslog:ro

networks:

- elk

kibana:

image: docker.elastic.co/kibana/kibana:8.15.0

container_name: kibana

depends_on:

- elasticsearch

ports:

- "5601:5601"

networks:

- elk

volumes:

esdata:

networks:

elk:

driver: bridge

启动服务：

$ docker compose up -d

验证 Elasticsearch 状态：

$ curl -X GET "localhost:9200/_cluster/health?pretty"

输出为 status: green 表示集群健康，可以继续后续操作。

4. Elasticsearch 简介

Elasticsearch 是基于 Apache Lucene 构建的分布式搜索引擎，适用于结构化与非结构化数据的快速全文检索。

4.1. 核心优势

✅ 高性能：支持毫秒级响应✅ 易扩展：可横向扩展节点以处理更大规模数据✅ REST API：提供丰富的 API 接口，便于集成

4.2. Lucene 查询语法示例

Elasticsearch 使用 Lucene 查询语法，支持复杂条件组合：

"Spring Boot" AND (training OR tutorial) NOT kotlin AND date:[2024-01-01 TO 2024-09-01]

该查询将匹配包含 “Spring Boot”、包含 “training” 或 “tutorial” 的文档，同时排除含 “kotlin” 的文档，并限定在指定日期范围内。

5. Logstash 数据处理

Logstash 是一个强大的数据处理工具，支持从多种来源采集数据、过滤、转换并输出到目标系统（如 Elasticsearch）。

5.1. Beats 采集器

Filebeat：用于采集日志文件

Metricbeat：用于采集系统指标（如 CPU、内存等）

通常，Beats 部署在各节点上，将原始数据发送到 Logstash 进行预处理，再写入 Elasticsearch。

5.2. 配置 Logstash 管道

创建 Logstash 配置文件：

$ mkdir -p ./logstash/pipeline && touch ./logstash/pipeline/logstash.conf

配置内容如下：

input {

file {

path => "/var/log/syslog"

start_position => "beginning"

sincedb_path => "/dev/null"

}

}

filter {

if [path] =~ "syslog" {

grok {

match => { "message" => "^%{SYSLOGTIMESTAMP:timestamp} %{HOSTNAME:hostname} kernel: %{GREEDYDATA:kernel_message}" }

overwrite => [ "message" ]

}

if ![timestamp] {

drop {}

}

}

}

output {

elasticsearch {

hosts => ["http://elasticsearch:9200"]

index => "kernel-logs"

}

}

重启容器使配置生效：

$ docker compose restart

验证数据是否写入 Elasticsearch：

$ curl -X GET "localhost:9200/kernel-logs/_search?pretty"

返回结果中 hits 字段显示命中的日志条目，说明数据采集成功。

6. Kibana 可视化分析

Kibana 是 Elasticsearch 的可视化前端，支持通过图表、地图、表格等方式展示数据，并可构建交互式仪表盘。

6.1. 配置数据源

访问 Kibana 地址 http://localhost:5601，依次点击：

Analytics → Discover

Create data view

输入索引模式 kernel-logs

保存为数据视图

完成后即可看到采集的日志数据。

6.2. 使用 KQL 查询日志

Kibana 使用 KQL（Kibana Query Language）进行查询，语法简洁高效：

查询包含 "kernel" 的日志：

message.keyword kernel

查询包含 "kernel" 和 "bluetooth" 的日志：

message.keyword kernel and message.keyword bluetooth

查询最近两天的蓝牙内核日志：

message.keyword kernel and message.keyword bluetooth and @timestamp > now-2d

7. 总结

本文介绍了 ELK Stack 的核心组件及其协同工作机制，并通过 Docker Compose 快速搭建了一个完整的 ELK 环境，演示了从日志采集、处理到可视化的完整流程。

✅ ELK 适合用于日志集中管理、实时分析与监控场景⚠️ 需注意 Logstash 配置的准确性，避免日志格式不匹配导致数据丢失✅ Kibana 提供强大的可视化能力，适合构建运维监控看板

如需进一步扩展，可考虑引入 Filebeat 实现更轻量的日志采集，或使用 Elastic Stack 的安全模块（如 APM、SIEM）提升系统可观测性。