ELK介绍

ELK工作流程
在需要收集日志的所有服务上部署logstash，作为logstash agent（logstash shipper）用于监控并过滤收集日志，将过滤后的内容发送到Redis，然后logstash indexer将日志收集在一起交给全文搜索服务ElasticSearch，可以用ElasticSearch进行自定义搜索通过Kibana 来结合自定义搜索进行页面展示。

ElasticSearch

原理：点这里
面试题：点这里
选举与脑裂：点这里 点这里前半部分
分词器：点这里
分词器还可以用内置的character filter, tokenizer, token filter 组装一个analyzer(custom analyzer)

- character filter：在tokenizer之前对原始文本进行处理，比如增加，删除，替换字符等。个人理解是处理编码问题。
- tokenizer：将原始文档按照一定规则切分为单词。
- token filter：针对tokenize输出的单词进行增删改等 *** 作。转换大小写，去掉连接词and or等。

LogStash

原理：点这里