ELK 遇到的坑

Logstash 启动问题

1. 提示：Unsupported platform: x86_64-windows

我安装的是Java 10 ，logstash不支持，所以只能安装 Java 8

2. 提示：Unrecognized VM option 'UseParNewGC'

将logstash中config文件夹下的jvm.options配置文件中的-XX:UseParNewGC注释掉

3. 提示：could not create the java virtual machine

logstash.bat原文件中%CLASSPATH%没有加双引号，给所有%CLASSPATH%加上双引号，问题即可解决

Kibana 启动问题

4. 提示： This version of Kibana requires Elasticsearch v6.5.1 on all nodes. I found the following incompatible nodes in your cluster: v6.4.2 @ 127.0.0.1:9200 (127.0.0.1)

elasticsearch 版本和 Kibana 的版本不一致导致的，将elasticsearch 版本升级和Kibana版本一致即可

献上我的配置

# https://www.cnblogs.com/aspnethot/articles/5477181.html
input {
    file {
        # 要采集的日志文件路径，可以使用通配符
        path => "D:\phpStudy\WWW\resource\logs\resource-*.log"
        # 通过自定义字段来指定Elasticsearch的索引
        add_field => { "@__index_name" => "resource_log" }
    }
}
filter {
    # http://grokdebug.herokuapp.com/
    grok {
        # 指定字段匹配的规则
        # 匹配的日志内容样例：[2019-01-03 16:31:53] BM.INFO: popHotel-originData [null] {"memory_peak_usage":"4 MB"}
        match => { "message" => "\[(?<timestamp>\d{4}-\d{2}-\d{2}\s{1,}\d{2}:\d{2}:\d{2})\]\s{1,}%{GREEDYDATA:data}" } }
    }
}
# 输出配置
output {
    # 输出到Elasticsearch
    elasticsearch {
        hosts => ["127.0.0.1:9200"]
        index => "%{@__index_name}-%{+YYYY.MM.dd}"
    }
}