使用 ELK Stack 集中 IBM Bluemix 应用程序日志（5）

look_w

创建查询

• 现在，您已经有了几个面板，让我们来使用一些查询。查看数据表，您会注意到，有一些 format 字段的值为                        cf 的记录。
• 将符合标准的记录和不符合标准的记录进行比较。首先，您需要查询 format 字段的值为 cf                    的应用程序。查询某个特定字段，按照模式 "field_name:value" 进行查询。找到带有绿点和类型为 format:cf 的查询框，如下所示：
• 按下 Enter 并观察直方图的变化方式，因为只显示了格式为 cf 的记录。
• 现在，添加另一个查询，选择格式不为 cf 的记录。通过执行此操作，可以有效地将数据分隔成相反的类别。首先单击                        format:cf 查询右边的加号图标，创建另一个查询。此查询的颜色将是橙色的。接下来，将 NOT                        format:cf 输入到新查询中。
• 再次按下 Enter 来查看直方图的变化方式。
• 这是不是很有趣？现在，您了解了修改 Kibana 仪表板的基础知识，并为探索 Kibana                    提供的所有功能做好了准备。尝试应用一些查询，添加不同类型的面板，并调整面板提供的许多选项。

生成环境注意事项我们目前为止介绍的所有内容都很有用，在开始使用 ELK Stack 为您的 IBM Bluemix 应用程序                汇集日志时，需要掌握这些知识。不过，当您在生产环境中使用此解决方案时，仍有一些问题需要解决，这些问题的详细介绍已超出了本文的讨论范围。这些问题可以确保您数据的安全和删除过时的日志。
安全性如果您在生产环境中使用 ELK Stack，则应该采用适当的凭证，使用最佳实践来运行 Logstash Elasticsearch 作为守护进程服务。
要保护 Kibana，可以配置您的 Web 服务器来限制用户访问，或者可以探索第三方产品，比如 。此外，可以参考以下两个参考资料，获得关于安全性的更多信息。
删除旧的记录（可选）现在，您已经将所有日志通过 Logstash 集中到了 Elasticsearch                中，如何删除已经不再有用、只会占用索引中的空间和内存的旧记录呢？处理这个问题的一个方法是使用一个名为  的 Elasticsearch 工具，它有助于您使用简单的命令来管理时间序列指数，这些命令包括                    delete、optimize、close、snapshot                和 alias。
下面的指令可以帮助您开始了解 Curator，创建一个将处理清除工作的 cron 作业。

• 安装 pip：sudo apt-get install python-pip。
• 使用 pip 安装 Curator：sudo pip install elasticsearch-curator。
• 编辑 crontab：crontab -e。
• 创建两个 cron 作业，一个用于删除超过 120 天的指数：

1	20 0 * * * /usr/local/bin/curator --host 127.0.0.1 delete --older-than 120

另一个作业用于关闭超过 90 天的指数：

1	20 0 * * * /usr/local/bin/curator --host 127.0.0.1 close --older-than 90

结束语IBM Bluemix 使开发人员能够快速构建、部署和管理云应用程序，并搭建一个由可用服务和运行时框架组成的不断成长的生态系统。与此同时，Bluemix                要求开发人员重新思考他们开发应用程序的方式，包括如何处理日志文件。通过利用 Bluemix 的日志输出功能，ELK Stack                使得开发人员能够捕获、转换、分析和可视化应用程序的日志，最终使他们能够从应用程序中获得新的洞察。此外，ELK Stack 并不局限于 Bluemix                应用程序；它可以接收来自各种来源的日志数据，支持开发一个堆栈，集成来自整个企业的应用程序产品组合的数据。