Elastic Stack 功能

收集您的 Linux 审计框架数据并监控文件的完整性。Auditbeat 会实时将这些事件发送到 Elastic Stack 的其余部分以进行进一步分析。

Filebeat 和 Metricbeat 提供了多种监控 Web 服务器和代理服务器的方法，包括针对 NGINX、Apache、HAProxy、IIS 等的模块和预配置仪表板。

Filebeat 和 Metricbeat 包括内部模块，这些模块简化了从数据存储、数据库和队列系统（如 MySQL、MongoDB、PostgreSQL、Microsoft SQL 等）收集、解析和可视化常见日志格式和系统指标的过程。

从单一视图跟踪 Amazon Web Services、Google Cloud 和 Microsoft Azure 中各种云服务的性能和可用性，以推动大规模高效分析。此外，Functionbeat 在观察无服务器云架构（包括 Kinesis、SQS 和 CloudWatch 日志）时提供了简单性。

监控您的应用程序日志，密切关注 Kubernetes 指标和事件，并分析 Docker 容器的性能。在一个专为基础架构运营而构建的应用程序中可视化和搜索所有这些内容。

HTTP、DNS 和 SIP 等网络信息可让您密切关注应用程序延迟和错误、响应时间、SLA 性能、用户访问模式和趋势等。利用这些数据来了解流量如何流经您的网络。

检测威胁的关键可能来自任何地方。因此，实时了解您的环境中发生的事情至关重要。Agent 和 Beats 会提取无数商业和开源安全数据源，从而实现大规模监控和检测。

无论您是从同一主机还是跨开放网络测试服务，Heartbeat 都可以轻松生成正常运行时间和响应时间数据。

使用文件数据可视化器，您可以将 CSV、NDJSON 或日志文件上传到 Elasticsearch 索引。文件数据可视化器使用文件结构 API 来识别文件格式和字段映射，之后您可以选择将数据导入索引。

使用摄取节点在实际文档索引发生之前对文档进行预处理。摄取节点拦截批量和索引请求，应用转换，然后将文档传递回索引或批量 API。摄取节点提供超过 25 种不同的处理器，包括 append、convert、date、dissect、drop、fail、grok、join、remove、set、split、sort、trim 等等。

分析是将文本（如任何电子邮件的正文）转换为标记或术语的过程，这些标记或术语被添加到倒排索引中以进行搜索。分析由分析器执行，分析器可以是内置分析器，也可以是使用标记器和过滤器组合为每个索引定义的自定义分析器。

标记器接收字符流，将其分解为单个标记（通常是单个单词），并输出标记流。标记器还负责记录每个术语的顺序或位置（用于短语和单词邻近查询）以及该术语所代表的原始单词的开始和结束字符偏移量（用于突出显示搜索片段）。Elasticsearch 有许多内置标记器，可用于构建自定义分析器。

标记过滤器接受来自标记器的标记流，并且可以修改标记（例如，小写）、删除标记（例如，删除停用词）或添加标记（例如，同义词）。Elasticsearch 有许多内置标记过滤器，可用于构建自定义分析器。

使用您自己的语言进行搜索。Elasticsearch 提供了 30 多种不同的语言分析器，包括许多使用非拉丁字符集的语言，如俄语、阿拉伯语和中文。

grok 模式类似于支持可重复使用的别名表达式的正则表达式。使用 grok 从文档中的单个文本字段中提取结构化字段。此工具非常适合 syslog 日志、Web 服务器日志（如 Apache）、MySQL 日志以及通常为人类而非计算机使用而编写的任何日志格式。

如果您使用数据馈送，则可以添加脚本以在分析数据之前对其进行转换。数据馈送包含一个可选的 script_fields 属性，您可以在其中指定用于评估自定义表达式并返回脚本字段的脚本。使用此功能，您可以执行各种转换。

使用 Logstash 外部查找插件在摄取时丰富您的日志数据。使用客户端 IP 位置、DNS 查找结果甚至来自相邻日志行的数据等信息轻松补充日志行并为其提供更多上下文。Logstash 有各种查找插件可供选择。

匹配摄取处理器允许用户在摄取时查找数据，并指示从中提取丰富数据的索引。这有助于需要向其数据添加一些元素的 Beats 用户 - 用户可以直接查阅摄取管道，而不是从 Beats 转向 Logstash。用户还可以使用处理器规范化数据，以获得更好的分析和更常见的查询。

geo-match enrich 处理器是一种有用且实用的方法，允许用户通过利用其地理数据来提高其搜索和聚合能力，而无需在地理坐标方面定义查询或聚合。与匹配 enrich 处理器类似，用户可以在摄取时查找数据，并找到从中提取丰富数据的最佳索引。

Elasticsearch 使用标准的 RESTful API 和 JSON。我们还使用多种语言（例如 Java、Python、.NET、SQL 和 PHP）构建和维护客户端。此外，我们的社区还贡献了许多其他内容。它们易于使用，使用起来很自然，而且就像 Elasticsearch 一样，不会限制您可能想用它们做什么。

Elasticsearch 提供了各种节点类型，其中一种专门用于摄取数据。摄取节点可以执行预处理管道，该管道由一个或多个摄取处理器组成。根据摄取处理器执行的操作类型和所需的资源，拥有仅执行此特定任务的专用摄取节点可能是有意义的。

Elastic Agent 是一个单一的统一代理，您可以将其部署到主机或容器以收集数据并将其发送到 Elastic Stack。您可以使用它为每个主机添加对日志、指标和其他类型数据的监控。您的 Elastic Agent 控制的主机可以使用 Endpoint Security 集成通过监控主机上的安全相关事件来提供保护，从而允许通过 Kibana 中的 Elastic Security 应用程序调查安全数据。

Beats 是开源数据传送器，您可以将其作为代理安装在服务器上，以将操作数据发送到 Elasticsearch 或 Logstash。Elastic 提供 Beats 来捕获各种常见日志、指标和其他各种数据类型。

如果您有特定的用例需要解决，我们鼓励您创建一个社区 Beat。我们已经创建了一个基础架构来简化这个过程。libbeat 库完全用 Go 编写，它提供了所有 Beat 用于将数据发送到 Elasticsearch、配置输入选项、实现日志记录等的 API。

Logstash 是一个开源数据收集引擎，具有实时管道功能。Logstash 可以动态地统一来自不同来源的数据，并将数据规范化到您选择的目标位置。清理和民主化您的所有数据，以用于各种高级下游分析和可视化用例。

您可以将自己的输入、编解码器、过滤器或输出插件添加到 Logstash。插件可以独立于 Logstash 核心进行开发和部署。您还可以编写自己的 Java 插件以与 Logstash 一起使用。

Elasticsearch for Apache Hadoop（Elasticsearch-Hadoop 或 ES-Hadoop）是一个免费开源、独立、自包含的小型库，允许 Hadoop 作业与 Elasticsearch 交互。使用它可以轻松构建动态的嵌入式搜索应用程序，为您的 Hadoop 数据提供服务，或使用全文、地理空间查询和聚合执行深度、低延迟的分析。

作为一个免费开源、语言无关的应用程序，可以使用插件和集成轻松扩展 Elasticsearch 的功能。插件是一种以自定义方式增强 Elasticsearch 核心功能的方法，而集成是使 Elasticsearch 更易于使用的外部工具或模块。

Fleet 在 Kibana 中提供了一个基于 Web 的 UI，用于添加和管理流行服务和平台的集成，以及管理 Elastic Agent 的队列。我们的集成提供了一种简单的方法来添加新的数据源，此外，它们还附带了开箱即用的资产，如仪表板、可视化和管道，用于从日志中提取结构化字段。

从 Kibana 的管道管理 UI 控制多个 Logstash 实例。在 Logstash 端，只需启用配置管理并将 Logstash 注册为使用集中管理的管道配置即可。

Elasticsearch 为文档中的字段支持多种不同的数据类型，并且每种数据类型都提供自己的多个子类型。这使您能够以最有效的方式存储、分析和利用数据，而不管数据是什么。Elasticsearch 优化的一些数据类型包括

Elasticsearch 使用一种称为倒排索引的结构，该结构旨在允许非常快速的全文搜索。倒排索引由出现在任何文档中的所有唯一单词的列表组成，并且对于每个单词，都有一个包含该单词出现的文档的列表。要创建倒排索引，我们首先将每个文档的内容字段拆分为单独的单词（我们称之为术语或标记），创建一个包含所有唯一术语的排序列表，然后列出每个术语出现在哪个文档中。

Elasticsearch 不要求数据在被摄取或分析之前必须是结构化的（尽管结构化会提高速度）。这种设计使得入门变得简单，但也使 Elasticsearch 成为一个有效的文档存储。尽管 Elasticsearch 不是 NoSQL 数据库，但它仍然提供类似的功能。

倒排索引允许查询快速查找搜索词，但排序和聚合需要不同的数据访问模式。它们不需要查找术语并查找文档，而是需要能够查找文档并查找字段中包含的术语。文档值是 Elasticsearch 中的磁盘数据结构，在文档索引时构建，这使得这种数据访问模式成为可能，允许以列式方式进行搜索。这使得 Elasticsearch 在时间序列和指标分析方面表现出色。

Elasticsearch 使用 Lucene 中的 BKD 树结构来存储地理空间数据。这允许对地理点（纬度和经度）和地理形状（矩形和多边形）进行有效分析。

虽然 Elastic Stack 没有实现开箱即用的静态加密，但建议在所有主机上配置磁盘级加密。此外，快照目标还必须确保数据在静态时进行加密。

字段级安全性限制用户有权读取的字段。特别是，它限制了可以从基于文档的读取 API 访问哪些字段。

集群是一个或多个节点（服务器）的集合，它们共同保存您的所有数据，并在所有节点上提供联合索引和搜索功能。这种架构使得水平扩展变得简单。Elasticsearch 提供了一个全面而强大的 REST API 和 UI，您可以使用它们来管理您的集群。

快照是从正在运行的 Elasticsearch 集群获取的备份。您可以拍摄单个索引或整个集群的快照，并将快照存储在共享文件系统上的存储库中。还有一些插件支持远程存储库。

源存储库使您能够创建最小的、仅源代码的快照，这些快照占用的磁盘空间最多可减少 50%。仅源代码的快照包含存储的字段和索引元数据。它们不包括索引或文档值结构，并且在恢复时不可搜索。

保留历史数据以供分析非常有用，但由于存档大量数据的财务成本，因此经常被避免。因此，保留期是由财务现实驱动的，而不是由广泛的历史数据的有用性驱动的。汇总功能提供了一种汇总和存储历史数据的方法，以便仍然可以将其用于分析，但存储成本仅为原始数据的一小部分。

Elasticsearch 使用一种称为倒排索引的结构，该结构旨在允许非常快速的全文搜索。倒排索引由出现在任何文档中的所有唯一单词的列表组成，并且对于每个单词，都有一个包含该单词出现的文档的列表。要创建倒排索引，我们首先将每个文档的内容字段拆分为单独的单词（我们称之为术语或标记），创建一个包含所有唯一术语的排序列表，然后列出每个术语出现在哪个文档中。

运行时字段是在查询时计算的字段（读取时模式）。运行时字段可以随时引入或修改，包括在文档被索引之后，并且可以作为查询的一部分进行定义。运行时字段以与索引字段相同的接口公开给查询，因此一个字段可以在数据流的某些索引中是运行时字段，而在该数据流的其他索引中是索引字段，并且查询不需要知道这一点。虽然索引字段提供了最佳的查询性能，但运行时字段通过引入在文档被索引后更改数据结构的灵活性来补充它们。

查找运行时字段使您能够通过在两个索引上定义链接文档的键，将来自查找索引的信息添加到来自主索引的结果中。与运行时字段一样，此功能在查询时使用，提供灵活的数据丰富。

跨集群搜索 (CCS) 功能允许任何节点充当跨多个集群的联合客户端。跨集群搜索节点不会加入远程集群；相反，它以轻量级的方式连接到远程集群，以便执行联合搜索请求。

相似度（相关性评分/排名模型）定义了如何对匹配文档进行评分。默认情况下，Elasticsearch 使用 BM25 相似度（一种基于 TF/IDF 的高级相似度，它具有内置的 tf 归一化，适用于短字段（如名称）），但还有许多其他相似度选项可用。

基于 Lucene 9 基于 HNSW 算法的新近似最近邻或 ANN 支持，新的 _knn_search API 端点通过向量相似性促进了更具可扩展性和性能的搜索。它通过在召回率和性能之间进行权衡来实现这一点，即通过在召回率上做出微小的妥协，在非常大的数据集上实现比现有蛮力向量相似度方法更好的性能。

全文搜索需要一种强大的查询语言。Elasticsearch 提供了一种基于 JSON 的完整查询 DSL（领域特定语言）来定义查询。创建简单的查询来匹配术语和短语，或开发可以组合多个查询的复合查询。此外，可以在查询时应用过滤器，以便在对文档进行相关性评分之前将其删除。

异步搜索 API 使用户能够在后台运行长时间运行的查询、跟踪查询进度并在部分结果可用时检索它们。

突出显示器使您能够从搜索结果中的一个或多个字段中获取突出显示的片段，以便您可以向用户显示查询匹配的位置。当您请求突出显示时，响应包含每个搜索结果的额外突出显示元素，其中包括突出显示的字段和突出显示的片段。

完成建议器提供自动完成/边输入边搜索功能。这是一种导航功能，可在用户键入时引导他们获得相关结果，从而提高搜索精度。

术语建议器是拼写检查的根源，它根据编辑距离建议术语。在建议术语之前会先分析提供的建议文本。建议的术语是根据每个分析的建议文本标记提供的。

短语建议器通过在术语建议器的基础上构建额外的逻辑，为您的搜索添加了“您的意思是”功能，以选择基于 ngram 语言模型加权的整个更正短语，而不是单个标记。在实践中，这个建议器将能够根据共现和频率对选择哪些标记做出更好的决策。

与使用查询查找存储在索引中的文档的标准搜索模型相反，渗透器可用于将文档与存储在索引中的查询进行匹配。percolate 查询本身包含将用作查询与存储的查询进行匹配的文档。

Profile API 提供有关搜索请求中各个组件执行情况的详细计时信息。它提供了对搜索请求如何在低级别执行的洞察，因此您可以了解为什么某些请求速度慢并采取措施改进它们。

字段级安全性 和 文档级安全性 将搜索结果限制为用户有权读取的内容。具体来说，它限制了可以从基于文档的读取 API 访问哪些字段和文档。

查询取消是一项很有用的 Kibana 功能，它可以通过减少不必要的处理过载来帮助改善整体集群影响。当用户更改/更新其查询或刷新浏览器页面时，将自动取消 Elasticsearch 请求。

聚合框架有助于根据搜索查询提供聚合数据。它基于称为聚合的简单构建块，这些构建块可以组合起来以构建数据的复杂摘要。聚合可以被视为一个工作单元，它在一组文档上构建分析信息。

Graph explore API 使您能够提取和汇总有关 Elasticsearch 索引中的文档和术语的信息。了解此 API 行为的最佳方式是使用 Kibana 中的 Graph 来探索连接。

创建阈值警报，以定期检查 Elasticsearch 索引中的数据在给定时间间隔内何时高于或低于某个阈值。我们的警报功能为您提供了 Elasticsearch 查询语言的全部功能，以识别您感兴趣的数据变化。

推理使您能够使用监督式机器学习过程（如回归或分类），不仅可以进行批处理分析，还可以以连续的方式进行分析。推理可以使用训练有素的机器学习模型来处理传入数据。

语言识别是一种经过训练的模型，您可以使用它来确定文本的语言。您可以在推理处理器中引用语言识别模型。

在 Elastic 机器学习为您的数据创建正常行为的基线后，您可以使用该信息来推断未来的行为。然后创建预测以估计特定未来日期的时间序列值，或估计未来出现时间序列值的概率。

Elastic 机器学习功能通过在数据中创建准确的正常行为基线并识别数据中的异常模式来自动化时间序列数据的分析。使用专有的机器学习算法检测、评分异常，并将其与数据中具有统计意义的影响因素相关联。

对于难以用规则和阈值定义的变化，请将警报与无监督机器学习功能相结合，以发现异常行为。然后使用警报框架中的异常分数在出现问题时收到通知。

使用 Elastic 机器学习功能构建“典型”用户、机器或其他实体在特定时间段内的行为配置文件，然后在它们的行为与群体相比异常时识别异常值。

应用程序日志事件通常是非结构化的，并且包含可变数据。Elastic 机器学习功能观察消息的静态部分，将类似的消息聚类在一起，并将它们分类到消息类别中。

一旦检测到异常，Elastic 机器学习功能就可以轻松识别对其有重大影响的属性。例如，如果交易量出现异常下降，您可以快速识别导致问题的故障服务器或配置错误的交换机。

数据可视化工具通过分析日志文件或现有索引中的指标和字段，帮助您更好地了解 Elasticsearch 数据并识别机器学习分析的可能字段。

使用多个检测器创建复杂的机器学习作业。在多指标作业分析输入数据流、对其行为进行建模并根据您在作业中定义的两个检测器执行分析后，使用异常浏览器查看结果。

无监督异常值检测使用四种不同的基于距离和密度的机器学习技术来查找哪些数据点与大多数数据点相比不寻常。使用创建数据帧分析作业 API 创建异常值检测数据帧分析作业。

在发生计划外系统中断或其他导致异常检测结果误导的事件时，快速将模型恢复到所需的快照。

APM 服务器从 APM 代理接收数据，并将它们转换为 Elasticsearch 文档。它通过公开一个 HTTP 服务器端点来实现这一点，代理将它们收集的 APM 数据流式传输到该端点。在 APM 服务器验证并处理来自 APM 代理的事件后，服务器会将数据转换为 Elasticsearch 文档并将其存储在相应的 Elasticsearch 索引中。

APM 代理是用与您的服务相同的语言编写的开源库。您将它们安装到您的服务中，就像安装任何其他库一样。它们检测您的代码并在运行时收集性能数据和错误。这些数据会被缓冲一小段时间，然后发送到 APM 服务器。

查找和修复代码中的障碍归根结底就是搜索。我们在 Kibana 中专用的 APM 应用程序使您能够识别瓶颈并在代码级别精确定位有问题的更改。因此，您可以获得更好、更高效的代码，从而加快开发-测试-部署循环、加快应用程序速度并改善客户体验。

想知道请求是如何在您的整个基础架构中流动的吗？使用分布式跟踪将事务串在一起，并清楚地了解您的服务是如何交互的。找出路径中出现延迟问题的位置，然后精确定位需要优化的组件。

随时了解您的代码性能。当出现问题时收到电子邮件通知，或者当一切顺利时收到 Slack 通知。

服务地图是您的服务如何连接的可视化表示，并提供高级事务指标，如平均事务持续时间、请求和错误率，以及 CPU 和内存使用情况。

直接从 APM 应用程序创建机器学习作业。使用自动对您的数据进行建模的机器学习功能，快速找到异常行为。

Kibana 仪表板显示可视化和搜索的集合。您可以排列、调整大小和编辑仪表板内容，然后保存仪表板以便共享。您可以在多个仪表板之间甚至到 Web 应用程序之间创建自定义钻取，以推动行动和决策。

Canvas 是一种全新的数据美化方式。Canvas 将数据与颜色、形状、文本和您自己的想象力相结合，为大大小小的屏幕带来动态、多页、像素完美的数据显示。

用户体验数据反映了真实世界的用户体验。量化和分析 Web 应用程序的感知性能。

Kibana Lens 是一款易于使用的直观界面，它通过拖放体验简化了数据可视化的过程。无论您是在探索数十亿条日志，还是从您的网站流量中发现趋势，Lens 都能让您只需点击几下即可从数据中获得洞察力，而无需事先具备 Kibana 经验。

时间序列可视化构建器 (TSVB) 利用 Elasticsearch 聚合框架的全部功能，它是一个时间序列数据可视化工具，它结合了无数个聚合和管道聚合，以有意义的方式显示复杂数据。

图形分析功能使您能够发现 Elasticsearch 索引中的项目是如何相关的。您可以探索索引术语之间的连接，并查看哪些连接最有意义。这在各种应用程序中都很有用，从欺诈检测到推荐引擎。

“哪里”是 Elastic Stack 许多用户的一个关键问题。无论您是在保护您的网络免受攻击者的攻击，调查特定位置的应用程序响应时间缓慢，还是仅仅是在叫车回家，地理数据和搜索都发挥着重要作用。

您的应用程序和环境在不断发展，Elastic Stack 也是如此。在一个地方监控、搜索和可视化您的应用程序、Docker 和 Kubernetes 中发生的事情。

使用社区驱动的插件模块为 Kibana 添加更多功能。开源插件可用于各种应用程序、扩展、可视化等等。插件包括

通过我们易于理解的教程，学习如何将数据集加载到 Elasticsearch 中、定义索引模式、发现和探索数据、创建可视化和仪表板等等。

Kibana 运行时字段编辑器使用 Elasticsearch 的运行时字段功能，使分析师能够动态添加自己的自定义字段。在“索引模式”、“发现”和 Kibana Lens 中，可以使用此编辑器创建、编辑或删除运行时字段。

在 Kibana 中，您可以轻松共享 Kibana 仪表板的直接链接，或者将仪表板作为 iframe 嵌入到网页中，既可以是实时仪表板，也可以是当前时间点的静态快照。

使用 kibana_dashboard_only_user 内置角色来限制用户登录 Kibana 时看到的内容。kibana_dashboard_only_user 角色预先配置了对 Kibana 的只读权限。当用户打开仪表板时，他们将获得有限的视觉体验。所有编辑和创建控件都将隐藏。

借助 Kibana 中的空间，您可以将仪表板和其他已保存的对象组织成有意义的类别。进入特定空间后，您将只能看到属于该空间的仪表板和其他已保存的对象。启用安全功能后，您可以控制哪些用户可以访问各个空间，从而为您提供额外的保护层。

自定义横幅有助于区分不同角色、团队、职能等的 Kibana 空间。为各个 Kibana 空间定制特定公告和消息，并帮助用户快速识别他们所在的空格。

将“发现”中的已保存搜索导出为 CSV 文件，以便与外部文本编辑器一起使用。

轻松创建标签并将它们添加到仪表板和可视化中，以实现高效的内容管理。

快速生成任何 Kibana 可视化或仪表板的报告，并将它们保存为 PDF 或 PNG。按需获取报告、安排稍后生成报告、根据指定条件触发报告以及自动与他人共享报告。

使用 Kibana 中的地图应用程序，将来自唯一索引的图层添加到一个视图中。由于这些图层位于同一张地图上，因此您可以实时搜索和过滤所有图层。选项包括等值线图层、热图图层、切片图层和矢量图层，甚至还有特定于用例的图层，例如用于 APM 数据的可观察性。

矢量切片将您的地图划分为多个切片，并提供最佳性能和平滑缩放，优于其他方法。默认情况下，所有新的多边形图层都启用了“使用矢量切片”设置。如果您更喜欢 10,000 条记录的方法，则可以在图层设置中更改缩放选项。

使用您选择的示意图上的自定义位置数据创建区域地图（使用渐变对边界矢量形状进行着色的专题地图）。

Elastic 地图服务通过提供底图切片、shapefile 和可视化地理数据必不可少的关键功能，为 Kibana 中的所有地理空间可视化（包括地图应用程序）提供支持。使用 Kibana 的默认发行版，您可以在地图上放大至 18 倍。

Elastic 地图服务器在本地基础设施上使用 Elastic 地图服务的底图和边界。

虽然 GeoJSON 上传功能简单易用，但功能强大。通过直接摄取到 Elasticsearch 中，该功能使地图创建者能够将富含点、形状和内容的 GeoJSON 文件拖放到地图中，以进行即时可视化。在跟踪数据驱动的对象移动时，使用 GeoJSON 定义的边界启用电子邮件或 Web 应用程序警报。

当实体进入、离开或穿过边界时触发通知。在实体位于指定边界内时监控其位置。

使用直接内置于地图应用程序中的这个简单但功能强大的上传器，将 shapefile 加载到 Elastic 中。轻松加载本地开放数据和边界以进行分析和比较。

Filebeat 提供了一种轻量级的方式来转发和集中日志和文件，从而帮助您简化简单的事情。Filebeat 附带内部模块（auditd、Apache、NGINX、System、MySQL 等），这些模块通过单个命令简化了常见日志格式的收集、解析和可视化。

Filebeat 示例仪表板使您能够轻松地在 Kibana 中浏览日志数据。使用这些预先配置的仪表板快速入门，然后根据您的需要自定义它们。

由机器学习驱动的日志速率分析会自动突出显示日志速率超出正常范围的时间段，以便您可以快速识别和检查日志异常。

日志应用程序以紧凑、可自定义的显示方式提供实时日志跟踪。日志数据与指标应用程序中的指标相关联，使您更轻松地诊断问题。

Metricbeat 是一种轻量级传送器，您可以将其安装在服务器上，以定期从操作系统和服务器上运行的服务收集指标。从 CPU 到内存，从 Redis 到 NGINX，Metricbeat 是一种发送系统和服务统计信息的轻量级方式。

Metricbeat 示例仪表板使您能够轻松地在 Kibana 中开始监控服务器。使用这些预先配置的仪表板快速入门，然后根据您的需要自定义它们。

在 Kibana 的指标应用程序中直接为您的指标创建阈值警报，并获得实时反馈，并以您选择的方式（文档、日志、Slack、简单的 Webhook 等）接收通知。

通过直接从指标 UI 进行一键式异常检测，发现常见的基础设施问题。

将指标流式传输到 Elasticsearch 后，使用 Kibana 中的指标应用程序实时监控它们并识别问题。

Heartbeat 是一种轻量级守护程序，您可以将其安装在远程服务器上，以定期检查服务的运行状况并确定它们是否可用。Heartbeat 摄取服务器数据，然后这些数据将显示在 Kibana 的 Uptime 仪表板和应用程序中。

Heartbeat 示例仪表板使您能够轻松地在 Kibana 中可视化服务的运行状况。使用这些预先配置的仪表板快速入门，然后根据您的需要自定义它们。

直接在 Uptime 应用程序中根据您的可用性数据轻松创建基于阈值的警报，并以您选择的方式（文档、日志、Slack、简单的 Webhook 等）接收通知。

直接在 Uptime 应用程序中检查或在您的 SSL 或 TLS 证书即将过期时收到通知，并保持您的服务可用。

模拟多步骤旅程中的用户体验，例如电子商务商店的结账流程。捕获每一步的详细状态信息，以识别问题区域并创造卓越的数字体验。

Kibana 中的 Uptime 应用程序旨在帮助您快速识别和诊断网络或环境中的中断和其他连接问题。通过此有用的界面轻松监控主机、服务、网站、API 等。

使用 Elastic 通用架构 (ECS) 统一分析来自不同来源的数据。检测规则、机器学习作业、仪表板和其他安全内容可以更广泛地应用，搜索可以更精细地制定，字段名称也更容易记住。

Elastic Security 支持对来自 Elastic Agent 和 Elastic Beats 以及 Carbon Black、CrowdStrike 和 Microsoft Defender for Endpoint 等技术的端点数据进行交互式分析。使用“会话视图”探索 Shell 活动，使用“分析器”探索进程。

Elastic Security 通过交互式地图、图形、事件表等实现网络安全监控。它支持多种网络安全解决方案，包括 Suricata 和 Zeek 等 OSS 技术、思科 ASA、Palo Alto Networks 和 Check Point 等供应商的设备，以及 AWS、Azure、GCP 和 Cloudflare 等云服务。

Elastic Security 在实体分析方面表现出色。该解决方案提供了对用户活动的可见性，帮助从业者解决内部威胁、帐户接管、权限滥用和相关向量。环境范围的收集支持安全监控，用户数据显示在精选的可视化和表格中。用户上下文显示在搜索或调查的流程中，可以快速访问更多详细信息。

时间线事件浏览器允许分析师查看、过滤、关联和注释事件，收集数据以揭示攻击的根本原因和范围，协调调查人员，以及打包信息以供立即和长期参考。

内置的案例管理工作流程增强了对检测和响应的控制。Elastic Security 使分析师能够轻松地打开、更新、标记、评论、关闭案例，并将案例与外部系统集成。开放的 API 和对 IBM Resilient、Jira、Swimlane 和 ServiceNow 的预构建支持，可实现与现有工作流程的一致性。

检测引擎执行基于技术的威胁检测，并在出现高价值异常时发出警报。由 Elastic Security 研究工程师开发和测试的预构建规则可实现快速采用。可以为任何格式化为 Elastic 通用模式 (ECS) 的数据创建自定义规则。

集成的机器学习可自动执行异常检测，从而增强检测和搜寻工作流程。预构建的机器学习作业组合可实现快速采用。警报和调查工作流程利用了机器学习结果。

Elastic Security 通过在 Elastic Agent 上执行行为分析来防止勒索软件。该功能通过分析来自低级系统进程的数据来阻止 Windows 系统上的勒索软件攻击，并且对各种广泛传播的勒索软件家族有效。

Elastic Agent 上的恶意行为防护可在端点阻止高级威胁，为 Linux、Windows 和 macOS 主机提供新的防护层。恶意行为防护通过动态阻止执行后行为来支持现有的恶意软件和勒索软件防护，从而阻止高级威胁的发生。

无特征码恶意软件防护可立即阻止 Linux、Windows 和 macOS 主机上的恶意可执行文件。该功能通过 Elastic Agent 提供，它还可以收集安全数据并启用基于主机的检查和响应。基于 Kibana 的管理简化了部署和管理。

Elastic Agent 上的内存防护可阻止许多通过 shellcode 进行进程注入的技术，从而阻止线程执行劫持、异步过程调用、进程空心化和进程 Doppelgänging 等子技术。

Elastic Security 使用户能够轻松地在每个端点上部署 osquery，从而简化 Linux、Windows 和 macOS 主机上的搜寻和主机检查。该解决方案提供对丰富主机数据的直接访问，可以使用预构建或自定义 SQL 查询进行检索，以便在 Elastic Security 中进行分析。

使用 Elastic Agent 从无限数量的主机收集网络活动。对其进行分析以揭示防火墙无法看到的网络边界内外的流量，帮助安全团队解决恶意行为，如水坑攻击、数据泄露和 DNS 攻击。网络数据包分析器集成包括 Npcap 的免费商业许可证，Npcap 是广泛部署的 Windows 数据包嗅探库，可在每个主机上实现网络可见性，无论操作系统是什么。

使用由 eBPF 提供支持的轻量级代理保护混合云工作负载和云原生应用程序的安全。使用预构建和自定义检测规则以及机器学习模型自动发现运行时威胁。使用显示丰富上下文的类似终端的视图进行调查。

全面了解多云环境中的安全状况。查看调查结果，根据 CIS 控制措施对调查结果进行基准测试，并遵循补救指南以推动快速改进。