Elastic 通用模式

在 Elasticsearch 中构建数据结构

Elastic 通用模式 (ECS) 提供了一种在 Elasticsearch 中构建数据结构的一致方法,从而便于分析来自不同来源的数据。借助 ECS,可以更广泛地应用仪表板和检测规则等分析内容,更精确地制定搜索条件,并且更容易记住字段名称。

Elasticsearch 入门:使用免费开源的 Elastic Stack 进行存储、搜索和分析。
观看视频
ELK 简介:开始使用 Kibana 中的日志、指标、数据摄取和自定义可视化。
观看视频
Elastic Cloud 入门:启动您的首次部署。
了解更多

为什么要使用通用模式?

无论执行交互式分析(例如,搜索、下钻和透视、可视化)还是自动分析(例如,警报、检测规则和机器学习驱动的异常检测),您都需要能够统一检查数据。但是,除非您的数据仅来自一个来源,否则由于数据类型不同以及不同供应商标准导致的异构环境,您将面临格式不一致的问题。

什么是 ECS?

ECS 是一个开源的、社区驱动的规范,它为摄取到 Elasticsearch 中的数据定义了一组通用字段、它们的 Elasticsearch 数据类型、允许的值和使用层次结构。它统一了 Elastic 中所有可用的分析模式,包括搜索、下钻和透视、数据可视化、基于机器学习的异常检测、检测规则和警报。

Screenshot of ECS

简化内容开发

ECS 减少了您开发分析内容的时间。您无需在每次组织添加新数据源时都创建新的搜索和仪表板,而是可以继续利用现有的搜索和仪表板。ECS 还将使您的环境更容易直接采用来自使用 ECS 的其他方的分析内容,无论是 Elastic、合作伙伴还是开源项目。

Screenshot of ECS simplified content

基于 ECS 的 Okta 暴力攻击检测规则

Elastic 集成

Elastic 提供开箱即用的集成,可以从您的应用程序、端点、基础架构、云、网络、工作场所工具以及您生态系统中的所有其他常见来源中流式传输日志、事件、指标、跟踪、内容等。这些集成确保您可以在 Elastic 解决方案(例如安全可观测性)以及 Elastic 堆栈的其他领域中与您的数据进行交互。
 
从这些集成中摄取的数据已经映射到 ECS。您只需启用集成、摄取数据,即可开始与 ECS 格式的数据进行交互。

将数据映射到 ECS

虽然 Elastic 集成会自动将数据映射到 ECS,但您可能还有其他数据源希望规范化为 ECS,以便也能从中受益。有很多选项可以帮助您将数据映射到 ECS。这篇博文提供了一个将安全数据源映射到 ECS 的很好的例子。

参与 ECS

ECS 是一个不断发展的模式,会根据社区反馈定期更新以解决新的用例。

想了解更多信息?请浏览Elastic.coECS 代码库上的 ECS 文档。 

有问题或建议?请访问Elastic 论坛,加入我们在ECS 社区 Slack 频道或在ECS 代码库中提出问题。