上下文视图显示锚文档前后的许多文档，锚文档本身以蓝色突出显示，视图按照索引模式配置中指定的时间字段排序，并使用与上下文打开的Discover视图相同的列集，如果有多个文档具有相同的time字段值，默认情况下，内部文档顺序被用作二级排序标准。

在提交搜索查询时，文档列表中列出了与查询匹配的最近500个文档，通过在高级设置中设置discover:sampleSize属性，可以配置列表中显示的文档数量。默认情况下，该列表显示为所选索引模式配置的time字段的本地化版本和文档_source，你可以从字段列表向文档列表中添加字段，你可以根据表中包含的任何索引字段对列出的文档进...

你可以通过字段列表、文档列表或手动添加过滤器来添加字段过滤器，除了创建肯定过滤器和否定筛选器之外，文档列表还允许你对字段是否存在进行过滤，查询栏下面显示了应用的过滤器，否定过滤器显示为红色。

Kibana是一个通过端口5601访问的web应用程序，你所需要做的就是将web浏览器指向运行Kibana的机器，并指定端口号，例如，localhost:5601或http://YOURDOMAIN.com:5601。

高级全文查询通常用于在全文字段（如电子邮件正文）上运行全文查询，它们了解如何分析被查询的字段，并将在执行之前将每个字段的analyzer（或search_analyzer）应用到查询字符串。

匹配所有查询 最简单的查询，匹配所有文档，使它们的_score为1.0。 {代码...} 或curl命令： {代码...} 可以使用boost参数更改_score： {代码...} 或curl命令： {代码...} 匹配无查询 这是match_all查询的相反，它不匹配任何文档。 {代码...} 或curl命令： {代码...}

查询上下文中使用的查询子句回答了“这个文档与这个查询子句的匹配程度如何?”，除了决定文档是否匹配之外，查询子句还计算一个表示文档匹配程度的_score，相对于其他文档。

在像Elasticsearch这样的分布式系统中执行完全sql风格的join代价非常高，相反，Elasticsearch提供了两种旨在横向伸缩的join形式。

Elasticsearch是一个高度可扩展的开源全文搜索和分析引擎，它允许你快速，近实时地存储，搜索和分析大量数据，它通常用作底层引擎/技术，为具有复杂搜索功能和要求的应用程序提供支持。

输出插件 输出插件将事件数据发送到特定的目的地，输出是事件管道的最后阶段。 下面是一些输出插件，有关Elastic支持插件的列表，请参阅支持矩阵。 插件 描述 Github仓库 boundary 根据Logstash事件向Boundary发送注解 logstash-output-boundary circonus 根据Logstash事件向Circonus发送注解 logstash-output-circonus ...

过滤器插件 过滤器插件对事件执行中间处理，过滤器通常根据事件的特征有条件地应用。 下面是一些过滤器插件，有关Elastic支持插件的列表，请参阅支持矩阵。 插件 描述 Github仓库 aggregate 聚合来自单个任务的多个事件的信息 logstash-filter-aggregate alter 对mutate过滤器无法处理的字段执行一般更改 logstash-filte...

编解码器插件 编解码器插件改变事件的数据表示，编解码器本质上是流过滤器，可以作为输入或输出的一部分操作。 下面是一些编解码器插件，有关Elastic支持插件的列表，请参阅支持矩阵。 插件 描述 Github仓库 avro 将序列化的Avro记录读取为Logstash事件 logstash-codec-avro cef 读取ArcSight Common Event Format（CEF...

输入插件 输入插件允许Logstash读取特定的事件源。 下面是一些可用的输入插件，有关Elastic支持插件的列表，请参阅支持矩阵。 插件 描述 Github仓库 azure_event_hubs 从Azure事件中心接收事件 azure_event_hubs beats 从Elastic Beats框架接收事件 logstash-input-beats cloudwatch 从Amazon Web服务CloudWatch API提取...

Date过滤器插件 插件版本：v3.1.9 发布于：2017-11-07 更改日志 其他版本，请参阅版本化的插件文档。 获取帮助 有关插件的问题，请在讨论论坛中打开一个主题，对于bug或特性请求，在Github中打开一个issue，关于Elastic支持的插件列表，请考虑Elastic支持矩阵。 描述 date过滤器用于解析字段中的日期，然后使用该日期或...

File输出插件 插件版本：v4.2.5 发布于：2018-06-28 更新日志 其他版本，请参阅版本化的插件文档。 获取帮助 有关插件的问题，请在讨论论坛中打开一个主题，对于bug或特性请求，在Github中打开一个issue，关于Elastic支持的插件列表，请考虑Elastic支持矩阵。 描述 该输出将事件写入磁盘上的文件，你可以使用事件中的字...

确定向何处发送监控数据，这个集群通常称为生产集群，有关典型监控体系结构的示例，请参阅监视如何工作。 要将Logstash可视化为Elastic Stack的一部分（如步骤6所示），请将指标发送到你的生产集群，将指标发送到专用的监控集群将显示监控集群下的Logstash指标。

我们努力维护小版本之间的向后兼容性(例如6.x到6.y)，这样你就可以在不更改任何配置文件的情况下进行升级，重要更改通常只在主要版本（例如5.x到6.y)介绍，有时，为了确保操作的正确性，我们不得不在给定的主要版本中中断兼容性。

X-Pack是Elastic Stack扩展，它提供了安全、警报、监控、机器学习、管道管理等功能，默认情况下，在安装Logstash时，会安装X-Pack。

从命令行运行Logstash 要从命令行运行Logstash，请使用以下命令： {代码...} 命令行标记选项是你可以指定它们来控制Logstash的执行，bin目录的位置因平台而异，查看Logstash目录布局以找到你系统上bin\Logstash的位置。 下面的示例运行Logstash配置，并加载mypipeline.conf文件中定义的Logstash的配置： {代码...} 在命...

在配置Logstash时，你可能需要指定敏感设置或配置，比如密码，与依赖文件系统权限来保护这些值不同，你可以使用Logstash keystore来安全地存储用于配置设置的secret值。

Logstash在其操作期间发出内部日志，这些日志位于LS_HOME/logs（或/var/log/logstash用于DEB/RPM）中，默认的日志级别是INFO。Logstash的日志框架基于Log4j 2框架，其大部分功能都直接向用户公开。

过滤器是一种在线处理机制，它提供了根据需要对数据进行切片和切割的灵活性，让我们看一下活动中的一些过滤器，下面的配置文件设置了grok和date过滤器。

Kafka输出插件 插件版本：v7.1.3 发布于：2018-08-27 更新日志 其他版本，请参阅版本化的插件文档。 获取帮助 有关插件的问题，请在讨论论坛中打开一个主题，对于bug或特性请求，在Github中打开一个issue，关于Elastic支持的插件列表，请考虑Elastic支持矩阵。 描述 写入事件到Kafka主题。 这个插件使用Kafka客户端1.1.0...

Kafka输入插件 插件版本：v8.1.1 发布于：2018-06-01 更新日志 其他版本，请参阅版本化的插件文档。 获取帮助 有关插件的问题，请在讨论论坛中打开一个主题，对于bug或特性请求，在Github中打开一个issue，关于Elastic支持的插件列表，请考虑Elastic支持矩阵。 描述 这个输入将读取来自Kafka主题的事件。 这个插件使用Ka...

所有事件都有属性，例如，apache访问日志包含状态代码（200，404）、请求路径（“/”，“index.html”）、HTTP动作(GET，POST)、客户端IP地址等，Logstash将这些属性称为“字段”。

要配置Logstash，你需要创建一个配置文件，指定要使用的插件和每个插件的设置，你可以在配置中引用事件字段，并在事件满足某些条件时使用条件来处理它们，运行logstash时，使用-f指定配置文件。

监控Logstash 当你运行Logstash时，它会自动获取运行时指标，你可以使用这些指标来监控Logstash部署的健康状况和性能。 Logstash收集的指标包括： Logstash节点信息，比如管道设置、OS信息和JVM信息。 插件信息，包括已安装插件的列表。 节点统计信息，比如JVM统计信息、进程统计信息、事件相关统计信息和管道运行时统计...

在运行Logstash 5.2或更高版本时，你可以使用X-Pack中的监控功能来深入了解关于你的Logstash部署的指标，在overview仪表盘中，你可以看到Logstash接收和发送的所有事件，还有关于内存使用和正常运行时间的信息：

管道查看器UI 使用管道查看器来可视化和监控复杂的Logstash管道配置的行为，你可以看到一个说明了管道拓扑、数据流和分支逻辑的树视图并与之交互。 管道查看器在值异常的情况下突出显示CPU%和事件延迟，这些信息可以帮助你快速识别异常缓慢的处理过程。 前提条件 在使用管道查看器之前： 配置Logstash监控。 启动要监控...

如果需要在同一进程中运行多个管道，Logstash提供了一种通过名为pipelines.yml的配置文件完成此操作的方法，这个文件必须放在path.settings文件夹，并遵循此结构：