Elastic Stack 功能

收集您的 Linux 审核框架数据并监视文件的完整性。Auditbeat 将这些事件实时发送到 Elastic Stack 的其余部分以进行进一步分析。

Filebeat 和 Metricbeat 提供了多种方法来监视您的 Web 服务器和代理服务器，包括适用于 NGINX、Apache、HAProxy、IIS 等的模块和预配置的仪表板。

Filebeat 和 Metricbeat 包括内部模块，可简化从数据存储、数据库和队列系统（如 MySQL、MongoDB、PostgreSQL、Microsoft SQL 等）中收集、解析和可视化常见日志格式和系统指标的过程。

通过单一的管理界面，追踪来自 Amazon Web Services、Google Cloud 和 Microsoft Azure 等广泛云服务的性能和可用性，从而大规模地进行高效分析。此外，Functionbeat 在观察您的无服务器云架构时也提供了简洁性，包括 Kinesis、SQS 和 CloudWatch 日志。

监控您的应用程序日志，密切关注 Kubernetes 指标和事件，并分析 Docker 容器的性能。在专为基础设施运维而构建的应用程序中可视化并搜索所有这些信息。

HTTP、DNS 和 SIP 等网络信息使您可以随时了解应用程序延迟和错误、响应时间、SLA 性能、用户访问模式和趋势等。利用这些数据来了解流量如何流经您的网络。

检测威胁的关键可能来自任何地方。因此，实时了解您环境中发生的情况至关重要。代理和 Beats 摄取各种商业和开源的安全数据源，从而实现大规模的监控和检测。

无论您是从同一主机还是通过开放网络测试服务，Heartbeat 都可以轻松生成正常运行时间和响应时间数据。

使用文件数据可视化工具，您可以将 CSV、NDJSON 或日志文件上传到 Elasticsearch 索引。文件数据可视化工具使用文件结构 API 来识别文件格式和字段映射，之后您可以选择将数据导入索引。

在实际文档索引发生之前，使用摄取节点预处理文档。摄取节点会拦截批量和索引请求，应用转换，然后将文档传递回索引或批量 API。摄取节点提供 25 种以上不同的处理器，包括 append、convert、date、dissect、drop、fail、grok、join、remove、set、split、sort、trim 等。

分析是将文本（如任何电子邮件的正文）转换为标记或术语的过程，这些标记或术语会被添加到倒排索引中以进行搜索。分析由分析器执行，分析器可以是内置分析器，也可以是使用分词器和过滤器组合定义的每个索引的自定义分析器。

分词器接收字符流，将其分解为单个标记（通常是单个单词），并输出标记流。分词器还负责记录每个术语的顺序或位置（用于短语和单词邻近度查询）以及术语所代表的原始单词的起始和结束字符偏移量（用于突出显示搜索片段）。Elasticsearch 具有许多内置分词器，可用于构建自定义分析器。

标记过滤器接受来自分词器的标记流，并且可以修改标记（例如，转换为小写）、删除标记（例如，删除停用词）或添加标记（例如，同义词）。Elasticsearch 具有许多内置标记过滤器，可用于构建自定义分析器。

用您自己的语言进行搜索。Elasticsearch 提供 30 多种不同的语言分析器，包括许多具有非拉丁字符集的语言，如俄语、阿拉伯语和中文。

grok 模式类似于支持可重用别名表达式的正则表达式。使用 grok 从文档中的单个文本字段中提取结构化字段。此工具非常适合 syslog 日志、Apache 等 Web 服务器日志、MySQL 日志以及通常为人类而非计算机消费而编写的任何日志格式。

如果您使用数据源，则可以在分析数据之前添加脚本来转换数据。数据源包含一个可选的 script_fields 属性，您可以在其中指定评估自定义表达式并返回脚本字段的脚本。使用此功能，您可以执行各种转换。

使用 Logstash 外部查找插件在摄取时丰富您的日志数据。通过客户端 IP 位置、DNS 查找结果甚至来自相邻日志行的数据等信息，轻松补充日志行并为其提供更多上下文。Logstash 有各种查找插件可供选择。

匹配摄取处理器允许用户在摄取时查找数据，并指示从中提取丰富数据的索引。这有助于需要向其数据添加一些元素的 Beats 用户，用户可以直接咨询摄取管道，而不是从 Beats 转到 Logstash。用户还可以使用处理器对数据进行标准化，以获得更好的分析和更常见的查询。

地理匹配丰富处理器是一种实用有效的方法，允许用户通过利用其地理数据来提高其搜索和聚合能力，而无需在地理坐标术语中定义查询或聚合。与匹配丰富处理器类似，用户可以在摄取时查找数据，并找到从中提取丰富数据的最佳索引。

Elasticsearch 使用标准的 RESTful API 和 JSON。我们还构建和维护多种语言的客户端，例如 Java、Python、.NET、SQL 和 PHP。此外，我们的社区贡献了更多。它们易于使用，感觉自然，并且与 Elasticsearch 一样，不限制您想要使用它们执行的操作。

Elasticsearch 提供各种节点类型，其中一种专门用于摄取数据。摄取节点可以执行由一个或多个摄取处理器组成的预处理管道。根据摄取处理器执行的操作类型和所需的资源，拥有仅执行此特定任务的专用摄取节点可能是有意义的。

Elastic Agent 是一个单一、统一的代理，您可以将其部署到主机或容器以收集数据并将其发送到 Elastic Stack。您可以使用它为每个主机添加日志、指标和其他类型数据的监控。您的 Elastic Agent 控制的主机可以使用 Endpoint Security 集成来提供保护，方法是监控您的主机是否存在与安全相关的事件，从而可以通过 Kibana 中的 Elastic Security 应用程序调查安全数据。

Beats 是开源的数据发送器，您可以将其作为代理安装在服务器上，以将操作数据发送到 Elasticsearch 或 Logstash。Elastic 提供了 Beats 用于捕获各种常见的日志、指标和其他各种数据类型。

如果您有特定的用例需要解决，我们鼓励您创建一个社区 Beat。我们已经创建了一个简化该过程的基础设施。libbeat 库完全用 Go 编写，它提供了所有 Beats 用来将数据发送到 Elasticsearch、配置输入选项、实现日志记录等的 API。

Logstash 是一个开源数据收集引擎，具有实时管道功能。Logstash 可以动态地统一来自不同来源的数据，并将数据规范化为您选择的目标。清除并普及您的所有数据，以用于各种高级下游分析和可视化用例。

您可以向 Logstash 添加您自己的输入、编解码器、过滤器或输出插件。插件可以独立于 Logstash 核心进行开发和部署。您还可以编写您自己的 Java 插件以与 Logstash 一起使用。

用于 Apache Hadoop 的 Elasticsearch (Elasticsearch-Hadoop 或 ES-Hadoop) 是一个开源、独立、自包含的小型库，它允许 Hadoop 作业与 Elasticsearch 交互。使用它可以轻松构建动态的嵌入式搜索应用程序，为您的 Hadoop 数据提供服务，或使用全文、地理空间查询和聚合执行深入的低延迟分析。

作为一个开源、语言无关的应用程序，可以通过插件和集成轻松扩展 Elasticsearch 的功能。插件是一种以自定义方式增强 Elasticsearch 核心功能的方法，而集成是外部工具或模块，可以更轻松地使用 Elasticsearch。

Fleet 在 Kibana 中提供一个基于 Web 的 UI，用于为流行的服务和平台添加和管理集成，以及管理 Elastic Agent 的集群。我们的集成提供了一种添加新数据源的简单方法，并且它们附带开箱即用的资产，如仪表板、可视化和管道，以从日志中提取结构化字段。

从 Kibana 中的管道管理 UI 控制多个 Logstash 实例。在 Logstash 端，只需启用配置管理并注册 Logstash 即可使用集中管理的管道配置。

Elasticsearch 支持文档中字段的多种不同数据类型，并且每种数据类型都提供其自己的多个子类型。这允许您以最有效的方式存储、分析和利用数据，而不管数据如何。Elasticsearch 针对以下一些数据类型进行了优化，其中包括

Elasticsearch 使用一种称为倒排索引的结构，该结构旨在允许非常快速的全文搜索。倒排索引包含出现在任何文档中的所有唯一单词的列表，以及每个单词出现的文档列表。要创建倒排索引，我们首先将每个文档的内容字段拆分为单独的单词（我们称之为术语或标记），创建所有唯一术语的排序列表，然后列出每个术语出现在哪个文档中。

Elasticsearch 不需要数据具有结构才能被摄取或分析（尽管结构化会提高速度）。这种设计使得入门简单，同时也使 Elasticsearch 成为有效的文档存储。虽然 Elasticsearch 不是 NoSQL 数据库，但它仍然提供类似的功能。

倒排索引允许查询快速查找搜索词，但排序和聚合需要不同的数据访问模式。他们不是查找术语并查找文档，而是需要能够查找文档并查找该文档在字段中具有的术语。Doc values 是 Elasticsearch 中磁盘上的数据结构，在文档索引时构建，这使得这种数据访问模式成为可能，从而允许以列方式进行搜索。这让 Elasticsearch 在时间序列和指标分析方面表现出色。

Elasticsearch 在 Lucene 中使用 BKD 树结构来存储地理空间数据。这允许有效地分析地理点（纬度和经度）和地理形状（矩形和多边形）。

虽然 Elastic Stack 没有开箱即用地实现静态加密，但建议在所有主机上配置磁盘级加密。此外，快照目标还必须确保数据在静态时进行加密。

字段级安全性限制用户对字段的读取访问权限。特别是，它限制了可以从基于文档的读取 API 访问哪些字段。

集群是一个或多个节点的集合（服务器），它们共同保存您的所有数据，并在所有节点上提供联合索引和搜索功能。这种架构使得水平扩展变得简单。Elasticsearch 提供了一个全面且强大的 REST API 和 UI，您可以使用它们来管理您的集群。

快照是从正在运行的 Elasticsearch 集群中进行的备份。您可以拍摄单个索引或整个集群的快照，并将快照存储在共享文件系统上的存储库中。还有可用的插件支持远程存储库。

源存储库使您能够创建最小的、仅限源的快照，这些快照在磁盘上占用的空间减少多达 50%。仅限源的快照包含存储的字段和索引元数据。它们不包括索引或 doc values 结构，并且在恢复时不可搜索。

保留历史数据以进行分析非常有用，但由于存档大量数据的财务成本，通常会避免这样做。因此，保留期由财务现实而不是广泛历史数据的有用性驱动。汇总功能提供了一种汇总和存储历史数据的方法，以便仍可将其用于分析，但存储成本仅为原始数据的一小部分。

Elasticsearch 使用一种称为倒排索引的结构，该结构旨在允许非常快速的全文搜索。倒排索引包含出现在任何文档中的所有唯一单词的列表，以及每个单词出现的文档列表。要创建倒排索引，我们首先将每个文档的内容字段拆分为单独的单词（我们称之为术语或标记），创建所有唯一术语的排序列表，然后列出每个术语出现在哪个文档中。

运行时字段是在查询时评估的字段（读取时模式）。运行时字段可以随时引入或修改，包括在文档被索引之后，并且可以定义为查询的一部分。运行时字段以与索引字段相同的接口暴露给查询，因此一个字段在数据流的某些索引中可以是运行时字段，而在该数据流的其他索引中可以是索引字段，并且查询不需要知道这一点。虽然索引字段提供最佳查询性能，但运行时字段通过在文档索引后引入更改数据结构的灵活性来补充它们。

查找运行时字段使您可以通过定义链接文档的两个索引上的键，将查找索引中的信息添加到主索引的结果中，从而具有灵活性。与运行时字段一样，此功能在查询时使用，从而提供灵活的数据丰富。

跨集群搜索 (CCS) 功能允许任何节点充当多个集群的联合客户端。跨集群搜索节点不会加入远程集群；相反，它以轻量级方式连接到远程集群以执行联合搜索请求。

相似性（相关性评分/排名模型）定义如何对匹配的文档进行评分。默认情况下，Elasticsearch 使用 BM25 相似性——一种高级的、基于 TF/IDF 的相似性，具有内置的 tf 归一化，最适合短字段（如名称）——但还有许多其他相似性选项可用。

基于 Lucene 9 新的基于 HNSW 算法的近似最近邻或 ANN 支持，新的 _knn_search API 端点通过向量相似性促进更具可扩展性和性能的搜索。它通过在召回率和性能之间进行权衡来实现这一点，即通过在召回率上做出小的妥协，在非常大的数据集上实现更好的性能（与现有的暴力向量相似性方法相比）。

全文搜索需要一个强大的查询语言。Elasticsearch 提供了一个基于 JSON 的完整 Query DSL（领域特定语言）来定义查询。创建简单的查询以匹配术语和短语，或开发可以组合多个查询的复合查询。此外，可以在查询时应用过滤器以在对文档进行相关性评分之前删除文档。

异步搜索 API 使用户能够在后台运行长时间运行的查询、跟踪查询进度并在可用时检索部分结果。

高亮显示器使您能够从搜索结果中的一个或多个字段中获取高亮显示的片段，以便您可以向用户显示查询匹配的位置。当您请求高亮显示时，响应会为每个搜索命中包含一个额外的高亮显示元素，其中包括高亮显示的字段和高亮显示的片段。

完成建议器提供自动完成/边输入边搜索功能。这是一种导航功能，可在用户键入时引导用户找到相关结果，从而提高搜索精度。

术语建议器是拼写检查的根源，根据编辑距离建议术语。在建议术语之前，将分析提供的建议文本。建议的术语是按分析的建议文本标记提供的。

短语建议器通过在术语建议器的基础上构建额外的逻辑，根据 ngram 语言模型选择整个更正后的短语而不是单独的标记，从而为您的搜索添加了“您是不是要找”功能。实际上，此建议器将能够根据共现和频率，更好地决定要选择哪些标记。

颠覆使用查询查找存储在索引中的文档的标准搜索模型，可以使用 percolator 将文档与存储在索引中的查询进行匹配。percolate 查询本身包含将用作查询的文档，以与存储的查询进行匹配。

Profile API 提供有关搜索请求中各个组件执行的详细计时信息。它可以深入了解搜索请求如何在较低级别执行，以便您可以了解为什么某些请求速度缓慢并采取措施加以改进。

字段级安全性和文档级安全性将搜索结果限制为用户具有读取访问权限的内容。特别是，它限制了可以从基于文档的读取 API 访问哪些字段和文档。

查询取消是一项有用的 Kibana 功能，可通过减少不必要的处理过载来帮助整体集群影响。当用户更改/更新其查询或刷新浏览器页面时，将自动取消 Elasticsearch 请求。

聚合框架有助于提供基于搜索查询的聚合数据。它基于称为聚合的简单构建块，可以组合这些聚合以构建数据的复杂摘要。聚合可以被视为在文档集上构建分析信息的工作单元。

Graph 探索 API 使您能够提取和总结 Elasticsearch 索引中关于文档和术语的信息。了解此 API 行为的最佳方法是在 Kibana 中使用 Graph 来探索连接。

创建阈值警报，定期检查 Elasticsearch 索引中的数据在给定时间间隔内何时高于或低于某个阈值。我们的警报功能为您提供 Elasticsearch 查询语言的全部功能，以识别您感兴趣的数据变化。

推理使您能够使用有监督的机器学习过程（例如回归或分类），不仅可以作为批量分析，而且可以以持续的方式进行。推理使得可以针对传入数据使用经过训练的机器学习模型。

语言识别是一个经过训练的模型，您可以用来确定文本的语言。您可以在推理处理器中引用语言识别模型。

在 Elastic 机器学习为您的数据创建正常行为基线后，您可以使用该信息来推断未来的行为。然后创建一个预测，以估计特定未来日期的时间序列值，或估计未来发生时间序列值的概率

Elastic 机器学习功能通过在数据中创建准确的正常行为基线并识别该数据中的异常模式，自动分析时间序列数据。使用专有的机器学习算法检测、评分异常，并将异常与数据中具有统计意义的影响因素联系起来。

对于难以使用规则和阈值定义的更改，请将警报与无监督的机器学习功能相结合，以查找异常行为。然后使用警报框架中的异常分数，在出现问题时收到通知。

使用 Elastic 机器学习功能构建“典型”用户、机器或其他实体在指定时间段内的行为配置文件，然后在他们表现异常时与群体进行比较，从而识别异常值。

应用程序日志事件通常是非结构化的，并且包含可变数据。 Elastic 机器学习功能观察消息的静态部分，将相似的消息聚类在一起，并将它们分类到消息类别中。

一旦检测到异常，Elastic 机器学习功能可以轻松识别对其产生重大影响的属性。例如，如果事务出现异常下降，您可以快速识别导致问题的故障服务器或配置错误的交换机。

数据可视化器通过分析日志文件或现有索引中的指标和字段，帮助您更好地了解 Elasticsearch 数据并识别用于机器学习分析的可能字段。

创建具有多个检测器的复杂机器学习作业。在使用多指标作业分析数据输入流、建模其行为并根据作业中定义的两个检测器执行分析后，使用异常浏览器查看结果。

无监督异常值检测使用四种不同的基于距离和密度的机器学习技术来查找与大多数数据点相比哪些数据点是不寻常的。通过使用创建数据帧分析作业 API 来创建异常值检测数据帧分析作业。

在发生计划外系统中断或其他导致异常检测中出现误导性结果的事件时，快速将模型恢复到所需快照。

APM 服务器接收来自 APM 代理的数据并将其转换为 Elasticsearch 文档。它通过公开 HTTP 服务器端点来实现此目的，代理将它们收集的 APM 数据流式传输到该端点。在 APM 服务器验证和处理来自 APM 代理的事件后，服务器将数据转换为 Elasticsearch 文档并将其存储在相应的 Elasticsearch 索引中。

APM 代理是用与您的服务相同的语言编写的开源库。您像安装任何其他库一样将它们安装到您的服务中。它们检测您的代码并在运行时收集性能数据和错误。此数据会缓冲一小段时间，然后发送到 APM 服务器。

查找和修复代码中的障碍归根结底是搜索。我们在 Kibana 中的专用 APM 应用程序可让您识别瓶颈并精确定位代码级别的有问题更改。因此，您可以获得更好、更高效的代码，从而加快开发-测试-部署循环、更快的应用程序和更好的客户体验。

想知道请求是如何在您的整个基础设施中流动的吗？使用分布式跟踪将事务串在一起，并清楚地了解您的服务是如何交互的。查找路径中出现延迟问题的位置，然后查明需要优化的组件。

及时了解您的代码的运行情况。当出现问题时收到电子邮件通知，或者当一切顺利时收到 Slack 通知。

服务图是您的服务如何连接的可视化表示，并提供高级事务指标，例如平均事务持续时间、请求和错误率，以及 CPU 和内存使用情况。

直接从 APM 应用程序创建一个机器学习作业。借助自动建模数据的机器学习功能，快速发现异常行为。

Kibana 仪表板显示可视化和搜索的集合。您可以排列、调整大小和编辑仪表板内容，然后保存仪表板以便共享。您可以在多个仪表板之间创建自定义向下钻取，甚至可以创建到 Web 应用程序的向下钻取，以推动行动和决策。

Canvas 是一种全新的使数据看起来很棒的方式。 Canvas 将数据与颜色、形状、文本以及您自己的想象力结合在一起，将动态、多页、像素级完美的数据显示带到大大小小的屏幕上。

用户体验数据反映了真实世界的用户体验。量化和分析您的 Web 应用程序的感知性能。

Kibana Lens 是一种易于使用的直观 UI，可通过拖放体验简化数据可视化过程。无论您是在探索数十亿个日志还是发现您网站流量的趋势，Lens 都能让您只需点击几下即可从数据到见解，而无需任何 Kibana 的先前经验。

通过使用 Elasticsearch 聚合框架的全部功能，时间序列可视化生成器 (TSVB) 是一种时间序列数据可视化器，它结合了无限数量的聚合和管道聚合，以有意义的方式显示复杂的数据。

图表分析功能使您能够发现 Elasticsearch 索引中的项目是如何关联的。您可以探索索引术语之间的连接，并查看哪些连接最有意义。这在各种应用中都很有用，从欺诈检测到推荐引擎。

“位置”是 Elastic Stack 许多用户的关键问题。无论您是保护您的网络免受攻击者的攻击，调查特定位置的应用程序响应时间过慢，还是只是呼叫回家，地理数据和搜索都起着重要作用。

您的应用程序和环境在不断发展，Elastic Stack 也在不断发展。在一个地方监控、搜索和可视化您的应用程序、Docker 和 Kubernetes 中发生的事情。

使用社区驱动的插件模块为 Kibana 添加更多功能。开源插件可用于各种应用程序、扩展、可视化等等。插件包括

通过我们易于遵循的教程，学习将数据集加载到 Elasticsearch 中，定义索引模式，发现和探索数据，创建可视化效果和仪表板等等。

Kibana 运行时字段编辑器使用 Elasticsearch 的运行时字段功能，使分析师可以访问动态添加他们自己的自定义字段。通过索引模式、发现和 Kibana Lens，此编辑器可用于创建、编辑或删除运行时字段。

在 Kibana 中，您可以轻松共享指向 Kibana 仪表板的直接链接，或将仪表板作为 iframe 嵌入到网页中 - 作为实时仪表板或当前时间点的静态快照。

使用 kibana_dashboard_only_user 内置角色来限制用户登录 Kibana 时看到的内容。 kibana_dashboard_only_user 角色预配置了对 Kibana 的只读权限。当用户打开仪表板时，他们将获得有限的视觉体验。所有编辑和创建控件都将被隐藏。

借助 Kibana 中的空间，您可以将仪表板和其他已保存的对象组织成有意义的类别。进入特定空间后，您将只看到属于它的仪表板和其他已保存的对象。启用安全性后，您可以控制哪些用户有权访问各个空间，从而为您提供额外的保护层。

自定义横幅有助于区分不同角色、团队、职能等的 Kibana 空间。为各个 Kibana 空间定制特定的公告和消息，并帮助用户快速识别他们所在的 空间。

将 Discover 中保存的搜索导出为 CSV 文件，以便与外部文本编辑器一起使用。

轻松创建标签并将其添加到仪表板和可视化中，以实现高效的内容管理。

快速生成任何 Kibana 可视化或仪表板的报告，并将其保存为 PDF 或 PNG。按需获取报告，安排稍后获取，根据指定条件触发，并自动与他人共享。

使用 Kibana 中的地图应用程序将来自唯一索引的图层添加到同一个视图中。由于这些图层在同一张地图上，您可以实时搜索和筛选所有图层。选项包括等值线图层、热图图层、切片图层和矢量图层，甚至包括针对 APM 数据的可观测性等特定用例图层。

矢量切片将您的地图划分为切片，并提供最佳性能和流畅的缩放，优于其他替代方法。所有新的多边形图层默认启用“使用矢量切片”设置。如果您更喜欢 10,000 条记录的方法，可以在图层设置中更改缩放选项。

使用您选择的示意图上的自定义位置数据创建区域地图 — 主题地图，其中边界矢量形状使用渐变色进行着色。

Elastic Maps Service 通过提供底图切片、形状文件以及可视化地理数据所需的核心功能，为 Kibana 中的所有地理空间可视化（包括地图应用程序）提供支持。使用 Kibana 的默认分发，您可以在地图上放大 18 倍。

Elastic Maps Server 在本地基础设施上使用 Elastic Maps Service 的底图和边界。

虽然简单易用，但 GeoJSON 上传功能非常强大。通过直接摄取到 Elasticsearch 中，该功能使地图创建者能够将富含点、形状和内容的 GeoJSON 文件拖放到地图中进行即时可视化。在跟踪数据驱动的对象移动时，使用 GeoJSON 定义的边界启用电子邮件或 Web 应用程序警报。

当实体进入、离开或穿过边界时触发通知。在实体保持在指定边界内时监视其位置。

使用直接构建到地图应用程序中的这个简单而强大的上传器将形状文件加载到 Elastic 中。轻松加载本地开放数据和边界以进行分析和比较。

Filebeat 通过提供一种轻量级的方式来转发和集中日志和文件，帮助您保持简单。Filebeat 带有内部模块（auditd、Apache、NGINX、System、MySQL 等），这些模块将常见日志格式的收集、解析和可视化简化为单个命令。

Filebeat 示例仪表板使您可以轻松地在 Kibana 中浏览日志数据。快速开始使用这些预配置的仪表板，然后对其进行自定义以满足您的需求。

由机器学习驱动的日志速率分析会自动突出显示日志速率超出正常范围的时间段，以便您可以快速识别和检查日志异常。

日志应用程序在紧凑、可自定义的显示中提供实时日志跟踪。日志数据与指标应用程序中的指标相关联，使您可以更轻松地诊断问题。

Metricbeat 是一种轻量级的发送器，您可以将其安装在服务器上，以定期收集来自操作系统和服务器上运行的服务的指标。从 CPU 到内存，从 Redis 到 NGINX，Metricbeat 是一种发送系统和服务统计信息的轻量级方法。

Metricbeat 示例仪表板使您可以轻松地开始在 Kibana 中监视您的服务器。快速开始使用这些预配置的仪表板，然后对其进行自定义以满足您的需求。

在 Kibana 的指标应用程序中直接为您的指标创建具有实时反馈的阈值警报，并以您选择的方式接收通知 — 文档、日志、Slack、简单 Webhook 等。

直接从指标 UI 中通过一键异常检测查找常见的基础设施问题。

在将指标流式传输到 Elasticsearch 后，使用 Kibana 中的指标应用程序来监视它们并实时识别问题。

Heartbeat 是一个轻量级守护程序，您可以将其安装在远程服务器上以定期检查服务的状态并确定它们是否可用。Heartbeat 摄取服务器数据，然后这些数据将显示在 Kibana 中的 Uptime 仪表板和应用程序中。

Heartbeat 示例仪表板使您可以轻松地在 Kibana 中可视化您的服务状态。快速开始使用这些预配置的仪表板，然后对其进行自定义以满足您的需求。

直接从 Uptime 应用程序中轻松地根据您的可用性数据创建基于阈值的警报，并以您选择的方式接收通知 — 文档、日志、Slack、简单 Webhook 等。

当您的 SSL 或 TLS 证书即将过期时进行检查或接收通知，并直接在 Uptime 应用程序中保持服务的可用性。

模拟跨多步骤流程（例如电子商务商店的结账流程）的用户体验。捕获每一步的详细状态信息，以识别问题区域并创建卓越的数字体验。

Kibana 中的 Uptime 应用程序旨在帮助您快速识别和诊断网络或环境中的中断和其他连接问题。从此有用的界面中轻松监视主机、服务、网站、API 等。

使用 Elastic Common Schema (ECS) 统一分析来自不同来源的数据。检测规则、机器学习作业、仪表板和其他安全内容可以更广泛地应用，可以更精细地构建搜索，并且更容易记住字段名称。

Elastic Security 支持对来自 Elastic Agent 和 Elastic Beats 以及 Carbon Black、CrowdStrike 和 Microsoft Defender for Endpoint 等技术的端点数据进行交互式分析。使用会话视图探索 shell 活动，并使用分析器探索进程。

Elastic Security 支持使用交互式地图、图形、事件表等进行网络安全监控。它支持多种网络安全解决方案，包括 Suricata 和 Zeek 等 OSS 技术、来自 Cisco ASA、Palo Alto Networks 和 Check Point 等供应商的设备，以及 AWS、Azure、GCP 和 Cloudflare 等云服务。

Elastic Security 在实体分析方面表现出色。该解决方案提供了对用户活动的可见性，帮助从业者解决内部威胁、帐户接管、权限滥用和相关媒介。环境范围的收集支持安全监控，用户数据呈现在精选的可视化和表格中。用户上下文在搜寻或调查过程中呈现，并且可以快速访问更多详细信息。

时间线事件资源管理器允许分析师查看、筛选、关联和注释事件，收集数据以揭示攻击的根本原因和范围，协调调查人员，并打包信息以供即时和长期参考。

内置案例管理工作流程增强了对检测和响应的控制。Elastic Security 允许分析师轻松打开、更新、标记、评论、关闭案例并将案例与外部系统集成。开放的 API 和对 IBM Resilient、Jira、Swimlane 和 ServiceNow 的预构建支持使能够与现有工作流程保持一致。

检测引擎执行基于技术的威胁检测并针对高价值异常发出警报。由 Elastic Security 研究工程师开发和测试的预构建规则支持快速采用。可以为以 Elastic Common Schema (ECS) 格式化的任何数据创建自定义规则。

集成的机器学习可自动进行异常检测，从而增强检测和搜寻工作流程。预构建的机器学习作业组合支持快速采用。警报和调查工作流程利用机器学习结果。

Elastic Security 通过在 Elastic Agent 上执行的行为分析来阻止勒索软件。该功能通过分析来自底层系统进程的数据来阻止 Windows 系统上的勒索软件攻击，并且在各种广泛传播的勒索软件家族中均有效。

Elastic Agent 上的恶意行为防护在端点阻止高级威胁，为 Linux、Windows 和 macOS 主机提供新的保护层。恶意行为防护通过动态阻止执行后行为来加强现有的恶意软件和勒索软件防护，从而阻止高级威胁。

无签名恶意软件防护立即阻止 Linux、Windows 和 macOS 主机上的恶意可执行文件。该功能随 Elastic Agent 一起提供，Elastic Agent 还收集安全数据并支持基于主机的检查和响应。基于 Kibana 的管理简化了部署和管理。

Elastic Agent 上的内存保护功能可阻止许多通过 shellcode 进行进程注入的技术，从而阻止诸如线程执行劫持、异步过程调用、进程空洞化和进程多普勒技术等子技术。

Elastic Security 使用户能够轻松地在每个端点上部署 osquery，从而简化跨 Linux、Windows 和 macOS 主机的狩猎和主机检查。该解决方案提供对丰富主机数据的直接访问，这些数据可以使用预构建或自定义 SQL 查询进行检索，以便在 Elastic Security 中进行分析。

使用 Elastic Agent 从无限数量的主机收集网络活动。对其进行分析，以揭示防火墙看不到的网络内部和外部流量，从而帮助安全团队解决诸如水坑攻击、数据泄露和 DNS 攻击等恶意行为。网络数据包分析器集成包括 Npcap 的免费商业许可证，Npcap 是广泛部署的 Windows 数据包嗅探库，可在每个主机上实现网络可见性，无论操作系统如何。

使用由 eBPF 提供支持的轻量级代理来保护混合云工作负载和云原生应用程序。通过预构建和自定义检测规则以及机器学习模型自动发现运行时威胁。通过显示丰富上下文的类似终端的视图进行调查。

深入了解您在多云环境中的安全态势。查看调查结果，对照 CIS 控制评估调查结果，并遵循补救指南以推动快速改进。