elk 如何创建新的索引

创建kibana索引

若只需要收集显示nginx的访问日志，则可以建立一个名为nginx+时间的索引 

若是需要收集一个服务器下的多个服务日志，则可以在一个conf下添加多个input并根据type来区分和实现

环境 

192.168.2.112 ES/kibana 

192.168.2.118 logstash/nginx 

192.168.2.117 logstash/mysql/nginx

建立nginx索引

1）在118服的logstash/etc目录下建立的nginxlog.conf，添加

input {

   file {

       path =>"/usr/local/nginx/logs/access.log"

       type =>"nginx"

   }

}

output {

   elasticsearch {

       hosts =>"192.168.2.112:9200"

       index =>"nginx-%{+YYYY.MM.dd}"

       }

}12345678910111213

其中，index即代表对应的索引名称

2）然后启动logstash

[root@localhost etc]# pwd/usr/local/logstash/etc

[root@localhost etc]# ../bin/logstash  -f nginxlog.conf1234

3）登陆kibana设置索引

4）然后手动访问nginx页面后，可以在kibana的discover界面看到

收集nginx日志和mysql日志

1）把118服的logstash目录复制到117服对应目录下

scp -r logstash/*  [email protected]:/usr/local/logstash1

2）在117服logstash/etc目录下建立all.conf

input {

   file {

       path =>"/usr/local/nginx/logs/access.log"

       type =>"nginx"

   }

}

input {

   file {

       path =>"/var/log/mysqld.log"

       type =>"mysql"

   }

}

output {  if [type] == "nginx"{

   elasticsearch {

       hosts =>"192.168.2.112:9200"

       index =>"nginx-%{+YYYY.MM.dd}"

       }

}if [type] == "mysql"{

   elasticsearch {

       hosts =>"192.168.2.112:9200"

       index =>"mysql-%{+YYYY.MM.dd}"

       }

}

}1234567891011121314151617181920212223242526272829

3）在kibana页面建立mysql索引

4）启动logstash

[root@host107 etc]# pwd/usr/local/logstash/etc

[root@host107 etc]# ../bin/logstash -f all.conf1234

5）然后启动及关闭mysql服务，就可以看到日志数据

6）同样的，访问nginx页面后，也会收到nginx日志数据

备注： 

1）其中上面的host列显示0.0.0.0，是因为没有设置主机名，在/etc/hosts下加上 

127.0.0.1 hostmysqlnginx 

然后hostname hostmysqlnginx 

重启下logstash，就可以看到host

我们在正式使用Kibana之前，需要先匹配我们Elasticsearch中的索引库，因为我们的Elasticsearch有可能会有很多索引库，Kibana为了性能因素，是不会事先把所有的索引库都导进来的，我们需要用那个索引就导哪个索引。

按照如下步骤 *** 作： Management >>Index Patterns >>Create Index Patterns 然后我们可以看到如下界面：

点击 Discover 菜单，打开Kibana的数据发现功能：

点击 Visualize 菜单，进入可视化图表创建界面，Kibana自带有上10种图表，下面我们来看看这些图表的使用。

饼状图使用示例

点击create visualize按钮，然后点击Pie图表，在From a New Search, Select Index中选择需要进行图表分析的索引，比如我们使用使用用户账号的索引ban*，点击了之后出现如下界面：

点击上方的绿色箭头，出来以下界面：

条形图使用示例

点击create visualize按钮，然后点击Vertical Bar图表，在From a New Search, Select Index中选择需要进行图表分析的索引，比如我们使用使用莎士比亚作品集测试数据shak*，点击了之后出现如下界面：

地图使用示例

点击create visualize按钮，然后点击Coordinate Map，在From a New Search, Select Index中选择需要进行图表分析的索引，比如我们使用日志测试数据Logstash-2015*，点击了之后出现如下界面：

点击 Dashboard 菜单，进入仪表盘创建界面。

一个Kibana仪表盘是许多图表的集合，它允许你整理和分享，点击Create a dashboard按钮，再点击Add按钮，显示出已保存图表的列表：

---