日志分析：ELK Stack（Elasticsearch+Logstash+Kibana）培训课程-曙海培训中心

日志分析：ELK Stack（Elasticsearch+Logstash+Kibana）培训课程

•  

• 培训对象： 日志分析工程师、运维工程师、安全分析人员、大数据开发人员。

•  

• 培训目标：

  • 理解ELK Stack的架构和组件配合。

  • 掌握Elasticsearch的索引原理和查询DSL。

  • 能够使用Logstash和Filebeat收集处理日志。

  • 熟练使用Kibana进行日志可视化和分析。

•  

• 培训内容介绍：

•  

  一、 ELK Stack架构概述： 了解Elasticsearch、Logstash、Kibana、Beats的各自角色和数据流向。

  二、 Elasticsearch核心概念： 理解索引、文档、分片、副本的概念，掌握REST API操作索引和文档。

  三、 Elasticsearch查询DSL： 编写结构化查询（term、match、range）、全文搜索和聚合分析。

  四、 Elasticsearch集群部署： 部署多节点集群，配置节点角色（Master、Data、Ingest），优化堆内存和磁盘。

  五、 Logstash安装与配置： 配置input、filter、output插件，解析和转换日志数据。

  六、 Logstash过滤插件实战： 使用grok解析非结构化日志，使用mutate修改字段，使用date处理时间戳。

  七、 Filebeat轻量级日志收集： 部署Filebeat收集文件日志，配置多行处理（multiline）合并堆栈跟踪。

  八、 Kafka作为消息队列集成： 在Filebeat和Logstash之间引入Kafka，实现削峰填谷和数据缓冲。

  九、 Kibana数据探索与可视化： 创建索引模式，使用Discover探索数据，构建可视化图表和仪表盘。

  十、 Kibana高级功能： 使用Canvas制作动态报告，使用Machine Learning检测日志异常。

  十一、 日志告警（ElastAlert）： 部署ElastAlert或使用X-Pack Watcher，配置基于日志的告警规则。

  十二、 实战项目：集中式日志平台搭建： 部署完整的ELK Stack，收集多台服务器的应用日志，实现集中查看和分析。