ELK Stack是目前开源界最流行的实时数据分析方案之一，由饶琛琳编著的《ELK Stack权威指南(第2版)》根据ELK 5.0版本对上版进行了修订。删除了过时的内容，增加了5.0版本的最新内容，如Beats，还增加了一章介绍Kibana插件开发示例。本书分为三大部分，共19章。第一部分“Logstash”介绍Logstash的安装与配置、场景示例、性能与监控、扩展方案、源码解析、插件开发等；第二部分“Elasticsearch”介绍Elasticsearch的架构原理、数据接口用例、性能优化、测试和扩展方案、映射与模板的定制、监控方案等；第三部分“Kibana”介绍Kibana 3和Kibana 5的特点对比，Kibarla的配置、案例与源代码解析。 本书没有逐一介绍ELK系列工具的全部语法细节，而是从日志数据处理的角度，介绍数据的解析、导入、可视化方式，讲解集群的稳定性和性能优化原理和方法，剖析代码要点并提供ELK Stack二次开发实例。

前言
第一部分 Logstash
第1章 入门示例
1.1 下载安装
1.2 Hello World
1.3 配置语法
1.3.1 语法
1.3.2 命令行参数
1.3.3 设置文件示例
1.4 插件安装
1.5 长期运行方式
第2章 插件配置
2.1 输入插件
2.1.1 标准输入
2.1.2 文件输入
2.1.3 TCP输入
2.1.4 syslog输入
2.1.5 http_poller抓取
2.2 编解码配置
2.2.1 JSON编解码
2.2.2 多行事件编码
2.2.3 网络流编码
2.2.4 collectd输入
2.3 过滤器配置
2.3.1 date时间处理
2.3.2 grok正则捕获
2.3.3 dissect解析
2.3.4 GeoIP地址查询
2.3.5 JSON编解码
2.3.6 key-value切分
2.3.7 metrics数值统计
2.3.8 mutate数据修改
2.3.9 随心所欲的Ruby处理
2.3.10 split拆分事件
2.3.11 交叉日志合并
2.4 输出插件
2.4.1 输出到Elasticsearch
2.4.2 发送email
2.4.3 调用系统命令执行
2.4.4 保存成文件
2.4.5 报警发送到Nagios
2.4.6 statsd
2.4.7 标准输出stdout
2.4.8 TCP发送数据
2.4.9 输出到HDFS
第3章 场景示例
3.1 Nginx访问日志
3.1.1 grok处理方式
3.1.2 split处理方式
3.1.3 JSON格式
3.1.4 syslog方式发送
3.2 Nginx错误日志
3.3 Postfix日志
3.4 Ossec日志
3.4.1 配置所有Ossec agent采用syslog输出
3.4.2 配置Logstash
3.4.3 推荐Kibana仪表盘
3.5 Windows系统日志
3.5.1 采集端配置
3.5.2 接收解析端配置
3.6 Java日志
3.6.1 Log4J配置
3.6.2 Logstash配置
3.6.3 异常堆栈测试验证
3.6.4 JSON Event layout
3.7 MySQL慢查询日志
3.8 Docker日志
3.8.1 记录到主机磁盘
3.8.2 通过logspout收集
第4章 性能与监控
4.1 性能测试
4.1.1 配置示例
4.1.2 使用方式
4.1.3 额外的话
4.2 监控方案
4.2.1 logstash-input-heartbeat心跳检测方式
4.2.2 JMX启动参数方式
4.2.3 API方式
第5章 扩展方案
5.1 通过Redis队列扩展
5.1.1 读取Redis数据
5.1.2 采用list类型扩展Logstash
5.1.3 输出到Redis
5.2 通过Kafka队列扩展
5.2.1 Kafka基础概念
5.2.2 Input配置
5.2.3 Output配置
5.2.4 性能
5.3 logstash-forwarder
5.3.1 Indexer端配置
5.3.2 Shipper端配置
5.3.3 AIX上的logstash-forwarder-java
5.4 Rsyslog
5.4.1 常用模块介绍
5.4.2 与Logstash合作
5.4.3 Mmexternal模块
5.5 Nxlog
5.6 Heka
5.7 Fluentd
5.7.1 配置示例
5.7.2 Fluentd插件
5.8 Message::Passing
第6章 Logstash源码解析
6.1 Pipeline
6.2 Plugins
第7章 插件开发
7.1 插件格式
7.2 插件的关键方法
7.3 插件打包
7.4 Filter插件开发示例
7.4.1 mmdb数据库的生成方法
7.4.2 LogStash::Filters::Mmdb实现
7.4.3 logstash-filter-mmdb打包
7.5 Input插件开发示例
7.5.1 FileWatch模块原理
7.5.2 LogStash::Inputs::Utmp实现
7.6 Output插件开发示例
第8章 Beats
8.1 libbeat的通用配置
8.1.1 过滤器配置
8.1.2 输出配置
8.1.3 shipper网络配置
8.1.4 日志配置
8.1.5 运行配置
8.2 Filebeat
8.2.1 安装部署
8.2.2 配置
8.2.3 生成的可用字段
8.3 packetbeat抓包分析
8.3.1 安装部署
8.3.2 配置示例
8.3.3 dashboard效果
8.3.4 Kibana 3拓扑图
8.4 metricbeat
8.4.1 配置示例
8.4.2 各模块输出指标示例
8.4.3 采集Docker中的指标
8.5 winlogbeat
第二部分 Elasticsearch
第9章 架构原理
9.1 准实时索引的实现
9.1.1 动态更新的Lucene索引
9.1.2 利用磁盘缓存实现的准实时检索
9.1.3 translog提供的磁盘同步控制
9.2 segment merge的影响
9.2.1 归并线程配置
9.2.2 归并策略
9.2.3 forcemerge接口
9.3 routing和replica的读写过程
9.3.1 路由计算
……
第10章 数据接口用例
第11章 性能优化
第12章 测试和扩展方案
第13章 映射与模板的定制
第14章 监控方案
第15章 Elasticsearch在运维监控领域的其他应用
第三部分 Kibana
第16章 Kibana的产品对比
第17章 Kibana 5
第18章 Kibana 5 源码解析
第19章 Kibana插件开发示例