概述
编辑概述
编辑这是 ECS 8.16.0 版本的文档。
什么是 ECS?
编辑Elastic 通用架构 (ECS) 是一种开源规范,在 Elastic 用户社区的支持下开发而成。ECS 定义了一套用于在 Elasticsearch 中存储事件数据的通用字段集,例如日志和指标。
ECS 指定每个字段的字段名称和 Elasticsearch 数据类型,并提供描述和示例用法。ECS 还将字段分组到 ECS 层级中,用于指示预期字段出现的频率。您可以在指南和最佳实践中了解有关 ECS 层级的更多信息。最后,ECS 还提供了一套用于添加自定义字段的命名指南。
ECS 的目标是使 Elasticsearch 用户能够规范化他们的事件数据,以便他们能够更好地分析、可视化和关联事件中表示的数据。ECS 的范围涵盖了各种事件,包括
- 事件源:无论是 Elastic 产品、第三方产品还是您的组织构建的自定义应用程序。
- 摄取架构:无论是 Beats 处理器、Logstash、Elasticsearch 摄取节点、以上所有或以上均不包含。
- 使用者:无论是通过 API、Kibana 查询、仪表板、应用程序还是其他方式使用。
ECS 新手?
编辑如果您是 ECS 新手,并且正在寻找有关其优势和核心概念示例的介绍,入门 是一个很好的起点。
我的事件与 ECS 不匹配
编辑ECS 是一种宽松的架构。如果您的事件包含无法映射到 ECS 的其他数据,您可以使用自定义字段名称将其添加到您的事件中。
成熟度
编辑ECS 改进按照语义版本控制发布。计划将主要 ECS 版本与主要 Elastic Stack 版本保持一致。
欢迎提供有关总体结构、缺少字段或现有字段的任何反馈。对于贡献,请阅读贡献指南。