- Elastic 通用架构 (ECS) 参考其他版本
- 概述
- 使用 ECS
- ECS 字段参考
- 基础字段
- 代理字段
- 自治系统字段
- 客户端字段
- 云字段
- 代码签名字段
- 容器字段
- 数据流字段
- 目标字段
- 设备字段
- DLL 字段
- DNS 字段
- ECS 字段
- ELF 头部字段
- 电子邮件字段
- 错误字段
- 事件字段
- FaaS 字段
- 文件字段
- 地理位置字段
- 组字段
- 哈希字段
- 主机字段
- HTTP 字段
- 接口字段
- 日志字段
- Mach-O 头部字段
- 网络字段
- 观察者字段
- 编排器字段
- 组织字段
- 操作系统字段
- 软件包字段
- PE 头部字段
- 进程字段
- 注册表字段
- 相关字段
- 风险信息字段
- 规则字段
- 服务器字段
- 服务字段
- 源字段
- 威胁字段
- TLS 字段
- 跟踪字段
- URL 字段
- 用户字段
- 用户代理字段
- VLAN 字段
- 卷字段
- 漏洞字段
- x509 证书字段
- ECS 分类字段
- 迁移到 ECS
- 其他信息
- 发行说明
概述
编辑概述
编辑这是 ECS 8.16.0 版本的文档。
什么是 ECS?
编辑Elastic 通用架构 (ECS) 是一种开源规范,在 Elastic 用户社区的支持下开发而成。ECS 定义了一套用于在 Elasticsearch 中存储事件数据的通用字段集,例如日志和指标。
ECS 指定每个字段的字段名称和 Elasticsearch 数据类型,并提供描述和示例用法。ECS 还将字段分组到 ECS 层级中,用于指示预期字段出现的频率。您可以在指南和最佳实践中了解有关 ECS 层级的更多信息。最后,ECS 还提供了一套用于添加自定义字段的命名指南。
ECS 的目标是使 Elasticsearch 用户能够规范化他们的事件数据,以便他们能够更好地分析、可视化和关联事件中表示的数据。ECS 的范围涵盖了各种事件,包括
- 事件源:无论是 Elastic 产品、第三方产品还是您的组织构建的自定义应用程序。
- 摄取架构:无论是 Beats 处理器、Logstash、Elasticsearch 摄取节点、以上所有或以上均不包含。
- 使用者:无论是通过 API、Kibana 查询、仪表板、应用程序还是其他方式使用。
ECS 新手?
编辑如果您是 ECS 新手,并且正在寻找有关其优势和核心概念示例的介绍,入门 是一个很好的起点。
我的事件与 ECS 不匹配
编辑ECS 是一种宽松的架构。如果您的事件包含无法映射到 ECS 的其他数据,您可以使用自定义字段名称将其添加到您的事件中。
成熟度
编辑ECS 改进按照语义版本控制发布。计划将主要 ECS 版本与主要 Elastic Stack 版本保持一致。
欢迎提供有关总体结构、缺少字段或现有字段的任何反馈。对于贡献,请阅读贡献指南。
On this page
Was this helpful?
Thank you for your feedback.