這段時候一直在研究ELK框架，主要集成在對fluentd和nxlog的研究上，國內文章不多，主要看了一下官方的API，配合自己的理解，總結了一下，希望可以幫到剛入行的朋友們！

Fluentd（日誌收集與過濾,server）

<source>
    @type tcp
    tag pilipa
    format none
    port 24224
    bind 0.0.0.0
  </source>
  <filter docker.**>
    type parser
    format json
    time_format %Y-%m-%dT%H:%M:%S.%L%Z
    key_name log
    reserve_data true
  </filter>
  <match **>
    @type stdout
  
 
</match>
</ROOT>

Source節點

source主要是配置一個TCP，格式為所有，端口為默認的24224，綁定主機為自己IP的服務，它對應的客戶端就要是TCP的，我們的nxlog就是這種協議的，架構上說就是一個c/s結構，由nxlog負責把數據發到fluentd上面。

filter節點

filter就是過濾規則，當source.tag復合filter的規則時，就執行這個filter進行過濾行為
match是fluentd收到數據後的處理， @type stdout是指在控制臺輸出，而我們生產環境把它輸出到了elasticsearch上面（ @type elasticsearch），處理的格式是json，如果在進行parser.json失敗後，數據就不會正常的寫入指定的數據表了，當然你可以把異常的數據存儲到elasticsearch的其它表裏。

自己在實踐中總結的地方：

source裏類型為@tcp類型時，它的tag是很重要的，我們的程序需要提供這個tag，當然如果你指定了端口，那這個tag就是當前端口的，而filter要根據這個tag去匹配自己，比如windows的tag，它會找以windows開頭的fitler。
filter裏的key_name，對應客戶端發送消息時的主屬性名稱，有的是log，有的是message，有的是msg，像nxlog這種客戶端它在使用tcp時key)name是message，下面說幾種情況：

1 匹配了filter但沒有找到key_name會有下面提示

2 沒有任務key_name,會在結尾出現\r符號，我們需要去自己在output裏過濾它，否則json轉換失敗

3 找到了對應的key_name

感謝各位的閱讀！

希望本文章可以幫您快速的解決問題！

ELK系列~對fluentd參數的理解