一、logstash是什么？

Logstash是一款轻量级的日志搜集处理框架，可以方便的把分散的、多样化的日志搜集起来，并进行自定义的处理，然后传输到指定的位置，比如某个服务器或者文件。

当然它可以单独出现，作为日志收集软件，你可以收集日志到多种存储系统或临时中转系统，如MySQL，redis，kakfa，HDFS, lucene，solr等并不一定是ElasticSearch。

Logstash就像一个数据管道一样，搜集来自不同源的日志，输出到不同的系统:

二、logstash安装与启动

下载logstash-2.4.0:

https://download.elastic.co/logstash/logstash/logstash-2.4.0.tar.gz
解压缩：

$ tar -zxvf logstash-2.4.0.tar.gz

启动logstash:

$ cd logstash-2.4.0
$ ./bin/logstash -e 'input { stdin { } } output { stdout {} }'
Settings: Default pipeline workers: 4
Pipeline main started

这样会以默认形式输出日志，是最简单的日志格式,输入一个单词测试：

hello world
2016-11-21T20:51:22.252Z yaopan.local hello world

设置为格式化输出:

$ ./bin/logstash -e 'input { stdin { } } output { stdout {codec => rubydebug} }'
Settings: Default pipeline workers: 4
Pipeline main started
hello
{
   "message" => "hello",
  "@version" => "1",
"@timestamp" => "2016-11-21T20:52:11.973Z",
      "host" => "yaopan.local"
}

三、导入日志到Elasticsearch

首先，启动elasticsearch(2.3.3版本)。

在logstash-2.4.0根目录下文件新建文件夹conf:

mkdir conf

新建配置文件:

cd conf
vim logstash.conf

logstash.conf内容如下：

input{
    stdin{}
}
output{
    elasticsearch{
        hosts => "127.0.0.1"
     }
   stdout{codec => rubydebug}
}

导入成功后会在ES中自动创建索引。