ELK是 Elasticsearch Logstash Kibana的简称 ELK可以结合成大规模的分布式日志系统。 Elasticsearch是搜索引擎，Logstash是日志的收集过滤转发中间件，Kibana是可视化工具。 ELK查日志比直接查日志有一定的优势， 一个是多实例的日志查起来很不方便，一个是ES有搜索的优势。

使用ELK搜索时，在搜索栏中直接输入error会返回所有字段中含有error的文档。 也可以限定字段搜索， 如 log_msg: error 只会搜索log_msg字段中含有error的文档。 log_msg “error” 会精确搜索log_msg字段是error的文档

ELK也支持通配符搜索， error: * 这种就可以

同时支持逻辑运算符组合搜索，and or not 组合在一起

查询时最好指定时间范围

切换下table/request/response/statistics 可以从不同维度查看搜索结果