軟體主廚的程式料理廚房

Syslog 顧名思義就是系統日誌或系統記錄，是一種透過 TCP/IP 來傳遞記錄訊息的標準，很多網路設備像 Router、Switch、Firewall…等都有支援，它的運作模式就是架設一個 syslog 伺服器等待接收記錄訊息，在 ELK 就有 syslog 插件可以用，只不過收到的記錄訊息格式都不太一樣，每台網路設備都會自定義自己的記錄格式，收到記錄之後要有 pretty printing 的話，我們就要仰賴 Logstash 了。

IIS Log 是記錄 HTTP Request 的重要記錄檔，我們可以從 IIS Log 中得知 Client 端對 Server 端的所有 HTTP 要求，IIS Log 一般以檔案的型式儲存在磁碟中，因此要收 IIS Log 就用監看檔案的方式，只要檔案有異動就把異動的部分往 Elasticsearch 送，這樣不僅每次傳輸的資料量不大，而且快又即時，接下來我們來看看 ELK 怎麼來達成這件事情。

ELK（Elasticsearch + Logstash + Kibana） 是這兩三年來很火紅的日誌收集分析平台，尤其是 Logstash 的部分，提供了各式各樣的日誌收集及輸出的 Plugin，搭配 Elasticsearch 這種分散的索引搜尋系統，收集日誌只是一塊蛋糕而已，如果你有收集大量日誌的需求可以考慮用 ELK，畢竟 Splunk 很貴啊啊啊！