ELK 其实并不是一款软件，而是一整套解决方案，是三个软件产品的首字母缩写，Elasticsearch，Logstash 和 Kibana。

ELK 协议栈

image.png

连接图

image.png

Elasticsearch -->存储数据

是一个实时的分布式搜索和分析引擎，它可以用于全文搜索，结构化搜索以及分析。它是一个建立在全文搜索引擎 Apache Lucene 基础上的搜索引擎，使用 Java 语言编写。

主要特点

实时分析
分布式实时文件存储，并将每一个字段都编入索引
文档导向，所有的对象全部是文档
高可用性，易扩展，支持集群（Cluster）、分片和复制（Shards 和 Replicas）。
接口友好，支持 JSON

Logstash --> 收集数据

主要特点

几乎可以访问任何数据
可以和多种外部应用结合
支持弹性扩展

组成

它由三个主要部分组成，见下图：
Shipper－发送日志数据
Broker－收集数据，缺省内置 Redis
Indexer－数据写入

image.png

Kibana --> 展示数据

为 Elasticsearch 提供分析和可视化的 Web 平台。它可以在 Elasticsearch 的索引中查找，交互数据，并生成各种维度的表图。

ELK+Filebeat

image.png
image.png

使用了 Nginx 的反向代理，使得用户可以从外部访问到 Kibana，并且它本身具有负载均衡的作用，也能够提高性能。

image.png

参考网址：
https://www.ibm.com/developerworks/cn/opensource/os-cn-elk-filebeat/index.html