概览
编辑概览编辑
这是 ECS 版本 8.11.0 的文档。
什么是 ECS?编辑
Elastic Common Schema (ECS) 是一个开源规范,在 Elastic 用户社区的支持下开发。ECS 定义了一组用于在 Elasticsearch 中存储事件数据(如日志和指标)的通用字段。
ECS 为每个字段指定了字段名称和 Elasticsearch 数据类型,并提供了描述和用法示例。ECS 还将字段分组到 ECS 级别中,用于指示预期字段出现的频率。您可以在准则和最佳实践中了解有关 ECS 级别的更多信息。最后,ECS 还提供了一组用于添加自定义字段的命名准则。
ECS 的目标是使 Elasticsearch 用户能够并鼓励他们规范化其事件数据,以便他们能够更好地分析、可视化事件中表示的数据并关联这些数据。ECS 的范围涵盖了各种事件,涵盖了
- 事件源:无论您的事件源是 Elastic 产品、第三方产品还是您组织构建的自定义应用程序。
- 摄取架构:无论您的事件的摄取路径是否包含 Beats 处理器、Logstash、Elasticsearch 摄取节点、上述所有内容,还是以上皆无。
- 使用者:无论是由 API、Kibana 查询、仪表板、应用程序还是其他方式使用。
ECS 新手?编辑
如果您是 ECS 的新手,并且正在寻找有关其优势和核心概念示例的介绍,那么入门是一个很好的起点。
我的事件未与 ECS 映射编辑
ECS 是一个允许的架构。如果您的事件包含无法映射到 ECS 的其他数据,则可以使用自定义字段名称将它们添加到事件中。
成熟度编辑
ECS 改进版按照语义化版本控制发布。计划将主要的 ECS 版本与主要的 Elastic Stack 版本保持一致。
欢迎对总体结构、缺少的字段或现有字段提出任何反馈。有关贡献,请阅读贡献准则。