Elastic Stack 7.3.0 重磅发布 | Elastic Blog
发布

Elastic Stack 7.3.0 重磅发布

我们无比激动地宣布 Elastic Stack 7.3 版本隆重登场,这是一个令人期待的新版本!

在本篇博文中,我们将会为大家介绍这一版本中的部分亮点。请务必查看专门介绍各个产品的博客文章,以便深入了解新功能的全部详情。已经迫不及待了吧,7.3 版本已在我们的 Elasticsearch 服务上推出;Elasticsearch 服务是唯一提供这些新功能的托管型 Elasticsearch 产品。或者,您也可以下载 Elastic Stack

接下来,让我们直奔主题,聊聊新功能。

实体化视图?以实体为中心的索引?引入数据帧

数据帧打个招呼吧,利用这项新功能,您可以动态透视 Elasticsearch 数据,创建以实体为中心的活动索引。这是一项令人振奋的功能,它打开了全新分析世界的大门,包括新的机器学习分析,诸如异常值检测(在 7.3 版本中添加的一项实验功能)、聚类、分类等。

正如解释大多数功能强大的概念一样,我们最好通过示例来说明这一功能。假设您希望在 Web 服务器日志中查找可疑的 IP 地址。您可能想了解发出了多少请求、响应代码以及为每个 IP 地址传输的总数据量。借助数据帧功能,您可以新建一个以实体为中心的索引,每个唯一的 IP 地址都有一个文档,用于跟踪每个感兴趣的指标 — 在这个用例中为总请求数、每个响应状态的计数和传输的字节数。最重要的是,数据帧支持连续处理,这意味着当有新文档添加到输入索引中时,这一转换后的以实体为中心的索引将自动更新。

dataframes.gif

通过数据帧,我们构建了一个强大的引擎,可以将数据转换为新的分析类型。这些活动的透视只是数据帧实现的第一组转换,我们很高兴在将来会引入更多的转换,将数据帧概念扩展到更多的用例。

阅读关于数据帧的更多信息

Elastic SIEM 增加了异常检测 — 因为只有规则还不够

我们在 7.2 版本中引入了 SIEM 解决方案,从那以后我们一直都很忙。

仅靠规则很难抓住坏人。因此,通过将我们的机器学习能力集成到 SIEM 应用中,我们在 7.3 版本的 Elastic SIEM 中增强了威胁检测和威胁搜索工作流。用户现在可以从 SIEM 应用中轻松启用和运行一组机器学习异常检测作业,用以专门检测特定的网络攻击行为。检测到的异常可以方便地显示在 SIEM 应用的托管和网络视图上。

02-elasticsearch-siem-machine-learning-7-3-0-blog.png

不想使用预配置作业的用户可以使用 Machine Learning 应用轻松添加自定义异常检测作业。

通过此项集成,现在利用机器学习来帮助检测攻击行为变得前所未有的容易。有关完整详情,请参阅 Elastic SIEM 发布博文

Elastic 地图已正式发布

位置一直是搜索中十分重要的一部分,无论是调查您网络中的攻击源、诊断特定区域内应用程序响应时间较慢的原因、实时跟踪送货卡车,还是只想找到附近最好吃的墨西哥卷饼,都离不开位置搜索。这正是我们从一开始 (0.9.1!) 就致力于在 Elastic Stack 中构建更快、更强大且更高效的地理空间功能的原因所在。

在 6.7 版本中,我们作为一项公测功能引入了 Elastic 地图,为在 Kibana 中浏览和理解地理空间数据提供了更加直观和可交互的方式,为未来打下了坚实的基础。在 7.3 版本中,我们很高兴地宣布 Elastic 地图已经完全准备就绪。

02-elasticsearch-elastic-maps-suricata-events-7-3-0.png

此外,Elastic 地图还添加了几项新功能,其中最令人兴奋的是能够将特性、形状和图层从 GeoJSON 文件上传到地图中。其他诸如在绘制自定义图标和可视化过去已知位置方面的功能改进,增强了整体的用户体验。

有关完整详情,请阅读 Elastic 地图博文。我们为自己在 Elastic 地图方面所取得的进展深感自豪,并为用户能够体验 7.3 版本的新功能以及计划在未来发布的激动人心的功能而感到兴奋。

没错,这只是冰山一角!

还有非常多的功能。请查看各产品的博文,详细了解我们在 7.3 版本中添加的所有新功能:

  • Elasticsearch 引入了只支持选举的主节点,添加了期待已久的稀有词汇聚合、新的快照/恢复管理 UI、动态更新的同义词及其他更多内容。请在 Elasticsearch 发布博文中了解详情
  • Kibana 提供了对 Kerberos、自动完成和 KQL 的支持来过滤聚合,并提供了画布工作板模板,可以更轻松地构建漂亮的显示内容 — 但这还不是全部
  • Beats 增加了对一系列新数据源的支持(包括 Oracle 和 Amazon RDS 这样的关系数据库、针对 Kubernetes kube-proxy、kube-scheduler 以及 kube-controller-manager 的指标)、对 GCP VPC 流日志的网络流支持,并改进了对 Amazon Kinesis Data Streams 和带有 Functionbeat 的 Amazon Cloudwatch 的支持。请阅读 Beats 发布博文了解详情
  • Logstash 现在默认包含 JMS 支持
  • Elastic APM .NET Agent 现已正式发布。此外,Elastic APM 添加了一种新的方法来查看带有聚合服务分解图的服务、来自 Kibana 的代理采样率配置,以及更多内容
  • Elastic Uptime 改进了多位置监测器在监测摘要和详情方面的界面外观。
  • Elastic Logs 添加了关键字高亮显示,以及基于 trace.id 跳转到 APM 痕迹的功能。
  • Elastic Infrastructure 应用中的 Metrics Explorer 现在可以在生产系统中使用,您可以根据时序指标快速执行聚合可视化。此外,Elastic Infrastructure 还改进了对其他核心 Kubernetes 服务的监测,并在 AWS 模块中新增了 RDS 指标集。请阅读 Elastic Infrastructure 发布博文了解详情。

祝您体验开心!