ELK超快速起步（Windows）

ELK 是 Elasticsearch、Logstash、Kibana 三个开源软件的组合。
软件相当易用，在windows上也可以十分容易的运行。本文记录了在windows上初步运行这三个软件的过程，适合初次接触ELK的童鞋参考。

1.环境
Windows7 64bit
JDK1.7.0_72 64bit
logstash 2.3.1
elasticsearch 2.3.1
kibana 4.5.0

2.下载

下载并解压以下3个包（本文写作时的最新包）
https://download.elastic.co/logstash/logstash/logstash-2.3.1.zip
https://download.elastic.co/elasticsearch/release/org/elasticsearch/distribution/zip/elasticsearch/2.3.1/elasticsearch-2.3.1.zip
https://download.elastic.co/kibana/kibana/kibana-4.5.0-windows.zip

下载测试数据ELK_test.7z(见本文附件)并解压。我们假设都解压到D:\opensource\ELK目录。
解压完后目录如下:

D:\opensource\ELK>dir /b
elasticsearch-2.3.1
elasticsearch-2.3.1.zip
first-pipeline.conf
kibana-4.5.0-windows
kibana-4.5.0-windows.zip
logstash-2.3.1
logstash-2.3.1.zip
logstash-tutorial-dataset


3.配置
D:\opensource\ELK\first-pipeline.conf

input {
    file {
        path => "D:/opensource/ELK/logstash-tutorial-dataset"
        start_position => beginning 
        ignore_older => 0 
    }
}

filter {
    grok {
        match => { "message" => "%{COMBINEDAPACHELOG}"}
    }
}

output {
    file {
        path => "D:/opensource/ELK/logstash-tutorial-output.txt"
    }
    elasticsearch {
    }
}

D:\opensource\ELK\kibana-4.5.0-windows\config\
kibana.yml

elasticsearch.url: "http://localhost:9200"

4.启动ELK
同时打开3个DOS窗口，分别键入：

D:\opensource\ELK\logstash-2.3.1\bin>logstash -f ../../first-pipeline.conf
D:\opensource\ELK\elasticsearch-2.3.1\bin>elasticsearch
D:\opensource\ELK\kibana-4.5.0-windows\bin>kibana

5.浏览http://localhost:5601
这便是最终成品kibana了，可以在这里一览日志。

手工修改logstash-tutorial-dataset，在结尾增加几行数据，然后刷新kibana的页面（Discover标签），可以看到实时的数据。
至此ELK之旅轻松结束！


6.典型架构参考资料
使用ElasticSearch+LogStash+Kibana+Redis搭建日志管理服务