前面我们已经搭建好ELK组件，现在来用它收集并且展示我们的系统日志。

1、启动Elasticsearch

1.1切换 elkuser用户（注意不能在root用户下启动）

切换用户命令：su elkuser，执行下面的启动命令

/data/app/elasticsearch/bin/elasticsearch

2、启动Kibana

/data/app/kibana/bin/kibana

3、Logstash

3.1 进入Logstash的cong目录下，创建一个新的后缀为conf的文件:

vi test_syslog.conf

3.2 输入以下内容(内容说明不用输入)

input {

    file {

        path => "/var/log/messages"

        type => "system"

        start_position => "beginning"

    }

}

filter {

}

output {

    elasticsearch {

        hosts => ["127.0.0.1:9200"]

        index => "msg-%{+YYYY.MM.dd}"

    }

}

内容说明：

input {} ：输入信息的说明

path：告诉Logstash我们收集数据的路径

type：自定义一个类型，用来区分收集是什么数据

start_position：从日志文件开头处开始收集

filter {}：这里我们不需要过滤，就空着

output {}：输出信息的说明

 elasticsearch {}：告诉Logstash我们收集后的数据存储在elasticsearch 

hosts：elasticsearch所在的主机ip+端口

index ：输出到数据保存的一个集合，这里定义这个集合的名字

保存退出vi

3.3 启动Logstash，并且读取test_syslog.conf

/data/app/logstash/bin/logstash -f test_syslog.conf

等一会，如无意外会出现下图的内容，即启动成功

4、在Kibana上观察

在浏览器打开Kibana面板：http://192.168.142.129:5601

192.168.142.129是我的虚拟机地址（请实际情况替换）

4.1 如下图，打开后，点击红色圈Management选项

4.1 如下图，点击红色圈index Management选项

4.2 如下图，就会观察到我们收集到的系统日志数据集合(名字就是我们在test_syslog.conf中定义的）

4.3 现在我们可以查看这个集合里面的数据，点击进入Dev Tools选项，输入查询命令GET /msg-2019.06.04/_search，点击运行按钮，右边就会显示收集到的数据咯~