Elastic 通用模式

在 Elasticsearch 中构建数据结构

Elastic 通用模式 (ECS) 提供了一种在 Elasticsearch 中构建数据结构的一致方法,有助于分析来自不同来源的数据。借助 ECS,可以更广泛地应用仪表板和检测规则等分析内容,可以更精确地制定搜索,并且字段名称更容易记住。

Elasticsearch 入门:使用开源 Elastic 技术栈进行存储、搜索和分析。

观看视频

ELK 入门:开始在 Kibana 中使用日志、指标、数据采集和自定义可视化。

观看视频

Elastic Cloud 入门:启动您的第一个部署。

了解更多

为何需要通用模式?

无论是执行交互式分析(例如,搜索、向下钻取和透视、可视化)还是自动化分析(例如,警报、检测规则和机器学习驱动的异常检测),您都需要能够统一检查您的数据。但是,除非您的数据仅来自一个来源,否则您会由于不同的数据类型和具有不同供应商标准的异构环境而面临格式不一致的问题。

什么是 ECS?

ECS 是一个开源的、社区驱动的规范,它定义了一组通用字段、它们的 Elasticsearch 数据类型、允许的值以及摄取到 Elasticsearch 中的数据的使用层级。它统一了 Elastic 中可用的所有分析模式,包括搜索、向下钻取和透视、数据可视化、基于机器学习的异常检测、检测规则和警报

Screenshot of ECS

简化的内容开发

ECS 减少了您在开发分析内容上花费的时间。您不必每次组织添加新数据源时都创建新的搜索和仪表板,而是能够继续利用您现有的搜索和仪表板。ECS 还将使您的环境更容易直接从其他使用 ECS 的方(无论是 Elastic、合作伙伴还是开源项目)那里采用分析内容。

Screenshot of ECS simplified content

基于 ECS 的 Okta 暴力攻击检测规则

Elastic 集成

Elastic 提供开箱即用的集成,用于从您的应用程序、端点、基础设施、云、网络、工作场所工具以及生态系统中的其他每个常用来源中流式传输日志、事件、指标、跟踪、内容等。这些集成确保您可以在 Elastic 解决方案(例如 安全可观测性)以及 Elastic 技术栈的其他领域中与您的数据进行交互。
 
从这些集成中摄取的数据已映射到 ECS。您只需启用集成、摄取数据,即可开始与您的 ECS 格式数据进行交互。

将数据映射到 ECS

虽然 Elastic 集成会自动将数据映射到 ECS,但您可能还有其他希望规范化为 ECS 的数据源,以便在那里也获得好处。有许多选项可用于帮助您将数据映射到 ECS。这篇博文提供了一个将安全数据源映射到 ECS 的很好的例子。

参与 ECS

ECS 是一个不断发展的模式,会定期更新,以根据社区反馈解决新的用例。

想要了解更多信息?浏览 Elastic.co 上的 ECS 文档或 ECS 存储库。 

有任何问题或建议?请访问 Elastic 讨论论坛,加入我们的 ECS 社区 Slack 频道,或在 ECS 存储库中打开一个问题。