刚开始学习使用ELK，整理一个学习资料列表，当做备忘录。
 
1.第一个当然是官方文档

• ElasticSearch参考手册，学习 DSL查询语法，包括查找（query）、过滤（filter）和聚合（aggs）等。
• Logstash参考手册，学习数据导入，包括输入（input）、过滤（filter）和输出（ output）等，主要是filter中如何对复杂文本 进行拆分和类型 转化。
• Kibana参考手册，使用Kibana提供的前端界面对数据进行快速展示，主要是对Visulize 模块的使

2.中文文档

• ElasticSearch
• Logstash：Logstash 最佳实践，ELKStack中文指南
• Kibana：ELKStack中文指南

 
欢迎补充……

我们都知道如果文档中有表示时间的字段时可以用如下方法将字段转化为date(timestamp)格式导入

date {

        match => [ "submission_time", "yyyyMMdd" ]

    }

但是如果一条记录中有多个字段需要使用date类型呢？有人遇到了 同样的问题How to parse multiple date fields?其实多次使用date{}语法就行了，例如：

date {

        match => [ "submission_time", "UNIX_MS" ]

        target => "@timestamp"

        }

date {

        match => [ "submission_time", "UNIX_MS" ]

        target => "submission_time"

        }

date {

        match => [ "start_time", "UNIX_MS" ]

        target => "start_time"

        }

date {

        match => [ "end_time", "UNIX_MS" ]

        target => "end_time"

        }

查看官方文档后， 发现一直使用的date是省去了参数target的，而target默认值为@timestamp。