随時更新する。

①環境構築はdocker-composeで出来る ＆ ハイスペックでなくてもいい

docker-composeが複数公開されていて、そのまま使ってセットアップできる。

また、docker-compose.yml内でメモリ使用量を設定することで、256MBメモリから使える。

②調べものをするときはバージョンを確認すること

後方互換性がない変更が多いので、バージョン違う情報は参考程度にしておいたほうがいい。

現時点の最新は7.x系だが、5.x系の記事が多い印象。 下手に検索するよりも公式見たほうが結局早かったりする。

③kibanaのDev Tool使えばelasticsearchもこわくない

elasticsearchってRESTで操作するのよくわからんとか思っていたけど、kibanaのDev ToolだとＡＰＩを補完してもらえたり、対象ＡＰＩのドキュメントをすぐ開けたりするのでかなり便利。

④kibanaのいろいろ

• index managementはStack Management（HomeのManageからアクセス）にて行う

⑤Logstashのいろいろ

• add_fieldはgsubの後でしか実行されない

こう書くのが正解

mutate {
  add_field => { "client-host" => "%{[event_data][IpAddress]}"}
}
mutate {
  gsub => ["client-host", "::ffff:", ""]
}

stackoverflow.com