Logstash是一个开源的数据收集引擎，它具有备实时数据传输能力。它可以统一过滤来自不同源的数据，并按照开发者制定的规范输出到目的地，支持正则表达式。由于日志文件来源多（如：系统日志、服务器日志、tomcat日志、nginx日志等），且内容杂乱，不便于人类进行观察。因此，我们可以使用 Logstash 对日志文件进行收集和统一过滤，变成可读性高的内容。下面开始安装~

1、下载

官网的下载地址（如果失效，请自行百度）

https://artifacts.elastic.co/downloads/logstash/logstash-6.6.1.tar.gz

在root用户下安装Lostash，执行如下命令：

cd /home/soft/

wget  https://artifacts.elastic.co/downloads/logstash/logstash-6.6.1.tar.gz

2、解压

tar -zxvf logstash-6.6.1.tar.gz -C /data/app/

3、重命名

cd /data/app/

mv logstash-6.6.1.tar.gz logstash

4、简单测试

进入conf文件夹下，编辑test3.conf文件(文件后缀必须是conf)

vi test3.conf

输入如下

input {

    stdin{

        }

}

filter {

}

output {

    stdout {

    }

}

input{stdin{}}：指定了输入格式是标准输入

filter{}：指定过滤的条件，暂时先空着

output{stdout{}}：指定输出的格式是标准输出

保存退出vi，执行如下命令：

./bin/logstash -f config/test3.conf

等出现 Successfully started Logstash API endpoint {:port=>9600}

就可以输入你想输入的东西，这里我输入hello，就会有东西打印出来，如下图

5、配置logstash.yml（注意缩进保持一致，前面留一个空格，冒号后面也要有空格）

数据目录路径

path.data

# logstash连接地址，必须配置

 http.host: "0.0.0.0"

#启动监听端口范围，默认9600-9700，会先使用指定范围的第一个端口

 http.port: 9600-9700

#保存的日志等级

 log.level: info

#日志路径设置

 path.logs:路径

到此为止，ELK基本搭建完成，下一篇将用它来实现收集系统日志信息并展示，未完