很多人剛剛接觸ELK都不知道如何使用它們來做分析,經(jīng)常會(huì)碰到下面的問題:

  • 安裝完ELK不知從哪下手

  • 拿到數(shù)據(jù)樣本不知道怎么分解數(shù)據(jù)

  • 導(dǎo)入到elasticsearch中奇怪為什么搜不出來

  • 搜到結(jié)果后,不知道它還能干什么

本篇就以一個(gè)完整的流程介紹下,數(shù)據(jù)從 讀取-->分析-->檢索-->應(yīng)用 的全流程處理。在閱讀本篇之前,需要先安裝ELK,可以參考之前整理安裝文檔:ELK5.0部署教程

在利用ELK做數(shù)據(jù)分析時(shí),大致為下面的流程:

  • 1 基于logstash分解字段

  • 2 基于字段創(chuàng)建Mapping

  • 3 查看分詞結(jié)果

  • 4 檢索

  • 5 聚合

  • 6 高亮

可能會(huì)根據(jù)第4步重復(fù)第2步的工作,調(diào)整分詞等規(guī)則。

為了便于理解