【ELK客户端安装过程】

1. 安装jdk-7u79-linux-x64.rpm、logstash-2.2.2-1.noarch.rpm
2. 添加jdk环境变量
(1)vim /etc/profile
(2)末尾处添加：
export JAVA_HOME=/usr/java/latest
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH
(3)source /etc/profile
3. 建立logstash客户端配置文件
(1)进入/etc/logstash/conf.d目录，为了一目了然，建立带有标识特征的配置文件，如需接入nginx日志，可以写为nginx.conf；如需接入php日志，可以写为php.conf；注意配置文件的后缀必须为‘.conf’
(2)配置文件内容

input {
    file {
        # 日志文件路径，例：m.2016-05-01-access.log，因为你要接入每天的日志，所以可以用通配符，如下所示：
        path => [ "/home/work/nginx_log/m.*-access.log" ]
        ignore_older => 2
    }
}

filter {
    grok { match => { "message" => "remote_addr=\[%{IPORHOST:remote_addr}\]" } }
    grok { match => { "message" => "status=\[%{NUMBER:status}\]" } }
    grok { match => { "message" => "elapsed=\[%{NUMBER:elapsed}\]" } }
    grok { match => { "message" => "ua=\[%{DATA:ua}\]" } }
    grok { match => { "message" => "request=\[%{DATA:request}\]" } }
    grok { match => { "message" => "refer=\[%{DATA:refer}\]" } }

output {
    redis {
        # redis消息队列的地址和端口，要测试下连通性：telnet ip port，redis、elasticsearch、logstashserver端、kibana在同一台机器上
        host => "redisip"
        port => "redisport"
        data_type => "list"
        # 设置redis-key，前缀‘logstash:’，后面写明客户端主机名即可（为了好区分）
        key => "logstash:hostname"
    }
}

4. 启动客户端logstash，指定配置文件，后台运行
/opt/logstash/bin/logstash -f /etc/logstash/conf.d/xxx.conf > /dev/null 2>&1 &

----------------------------------- 华丽的分割线 --------------------------------------

客户端配置好后，server端也需要进行相应的配置

1. 建立对应的logstash配置文件（注意要和客户端的key保持一致）
2. 启动logstash（指定该配置文件），后台运行
3. 检查是否生成新的索引文件
3. kibana-Settings配置对应的index-name后，就可以看到图了