Incidenta
Войти

Что такое ELK Stack?

Elasticsearch, Logstash, Kibana для управления логами с полнотекстовым поиском и визуализацией

Опубликовано 22.09.2025

Что такое ELK Stack?

ELK Stack — это набор из трех open-source инструментов: Elasticsearch (поиск и аналитика), Logstash (сбор и обработка данных), и Kibana (визуализация). Сейчас также называется Elastic Stack с добавлением Beats.

Компоненты ELK Stack

  • Elasticsearch — распределенная поисковая и аналитическая система
  • Logstash — pipeline для сбора, обработки и передачи данных
  • Kibana — веб-интерфейс для визуализации и анализа
  • Beats — легковесные агенты для сбора данных

Архитектура ELK Stack

  • Data Collection — Beats или Logstash собирают данные
  • Data Processing — Logstash обрабатывает и трансформирует данные
  • Data Storage — Elasticsearch индексирует и хранит данные
  • Data Visualization — Kibana предоставляет интерфейс для анализа

Когда использовать ELK Stack

  • Централизованный сбор и анализ логов
  • Полнотекстовый поиск по большим объемам данных
  • Операционная аналитика и мониторинг
  • Анализ безопасности и SIEM
  • Business intelligence и метрики

Преимущества ELK Stack

  • Open-source и бесплатный (базовая версия)
  • Высокая производительность и масштабируемость
  • Мощные возможности поиска и аналитики
  • Богатые возможности визуализации
  • Активное сообщество и экосистема

Недостатки ELK Stack

  • Сложность настройки и управления
  • Высокое потребление ресурсов
  • Требует экспертизы для оптимизации
  • Платные функции в коммерческой версии

Установка ELK Stack

 1# Docker Compose для ELK Stack
 2version: '3.8'
 3services:
 4  elasticsearch:
 5    image: docker.elastic.co/elasticsearch/elasticsearch:8.11.0
 6    environment:
 7      - discovery.type=single-node
 8      - xpack.security.enabled=false
 9    ports:
10      - "9200:9200"
11  
12  kibana:
13    image: docker.elastic.co/kibana/kibana:8.11.0
14    ports:
15      - "5601:5601"
16    depends_on:
17      - elasticsearch
18  
19  logstash:
20    image: docker.elastic.co/logstash/logstash:8.11.0
21    ports:
22      - "5044:5044"
23    depends_on:
24      - elasticsearch

Конфигурация Logstash

 1# logstash.conf
 2input {
 3  beats {
 4    port => 5044
 5  }
 6}
 7
 8filter {
 9  if [fields][logtype] == "apache" {
10    grok {
11      match => { "message" => "%{COMBINEDAPACHELOG}" }
12    }
13    date {
14      match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
15    }
16  }
17}
18
19output {
20  elasticsearch {
21    hosts => ["elasticsearch:9200"]
22    index => "logs-%{+YYYY.MM.dd}"
23  }
24}

Альтернативы ELK Stack

  • Splunk — коммерческая платформа с богатыми возможностями
  • Fluentd + Grafana — более легковесная альтернатива
  • Graylog — open-source с простой настройкой
  • Loki + Grafana — от создателей Prometheus

FAQ

Подходит ли ELK Stack для продакшена?

Да, ELK Stack широко используется в production средах. Однако требует правильной настройки кластера, мониторинга и резервного копирования для обеспечения надежности.

Какие требования к инфраструктуре?

ELK Stack может потреблять значительные ресурсы. Для production рекомендуется минимум 16GB RAM для Elasticsearch и быстрые SSD диски.

Попробуй Incidenta

Тренируйся решать IT-инциденты в реальных условиях. Практикуйся на сценариях, которые происходят в продакшене.

Выбрать тренировку