使用AWS Lambda和Logstash将CloudWatch日志发送到ELK。

首先，创建一个AWS Lambda函数来获取CloudWatch日志，并将其发送到一个Kinesis数据流。这里我们使用Node.js运行时环境。

var AWS = require('aws-sdk');
var zlib = require('zlib');

exports.handler = function(input, context) {
  var payload = new Buffer(input.awslogs.data, 'base64');

  zlib.gunzip(payload, function(e, result) {
    if (e) { 
      context.fail(e); 
      return; 
    }

    var resultParsed = JSON.parse(result.toString('ascii'));
    resultParsed.logEvents.forEach(function(logEvent) {
      var data = JSON.stringify(logEvent);
      var buf = new Buffer(data);
      console.log(buf.toString('base64'));
    });

    context.succeed();
  });
};

接下来，安装Logstash，并创建一个配置文件将Kinesis数据流的CloudWatch日志发送到ELK。以下是一个示例配置文件，其中Kinesis输入插件从Kinesis数据流读取数据，而Elasticsearch插件将数据发送到Elasticsearch：

input {
  kinesis {
    kinesis_stream_name => "cloudwatch_logs_kinesis"
    codec => json { charset => "UTF-8" }
    region => "us-east-1"
  }
}

output {
  elasticsearch {
    hosts => ["https://example.com:9200"]
    index => "cloudwatch_logs"
    document_type => "logs"
    http_compression => "true"
    user => "user"
    password => "password"
    ssl => "true"
    ssl_certificate_verification => "false"
  }
}

最后，在EC2实例或云上虚拟机实例中运行Logstash。

这样，我们就可以使用AWS Lambda和Logstash将CloudWatch日志发送到ELK，并使用Elasticsearch进行日志检索和分析。