发布

Elastic Stack 7.5.0 重磅发布

作者
Steve Kearns
Dan Courcy

我们非常兴奋地宣布 Elastic Stack 7.5 正式发布了。我们在此版本中推出了 Kibana Lens,用户通过 Lens 可以快速又直观地创建可视化视图。我们在这一版本中对 Observability 和 Security 解决方案进行了重大的改进,同时我们还将 Elastic Enterprise Search 加入到了 7.5 的版本中。

请继续阅读本文,并了解这个版本的所有亮点,并深入详细的阅读发布说明文档,才不会错过任何细节。

隆重推出 Kibana Lens:全新的数据可视化体验

一直以来 Kibana 都是可视化 Elasticsearch 中存储的数据和查看 Elastic Stack 整个技术栈的最佳方法。在 7.5 中,我们推出了 Kibana Lens,这是一种全新的创建可视化的方式。Lens 的设计十分直观,即使您之前没有任何技术经验,对 Elasticsearch 毫无了解,也能够基于原始数据,快速地制作出含义丰富的可视化呈现。首先 Lens 实现了崭新的拖拽式体验,而且通过 Lens ,您可以轻松在不同图表类型和索引模式之间切换。如果在图表中添加了字段,Lens 会为您提供智能建议,为您展示数据的其他视图。结合 Elasticsearch 高速的查询能力,Lens 能够让您比以前更快速、更轻松地实现数据可视化、探索和洞悉自己的数据。

7.5-stack-blog-lens-drag-and-drop-launch-blog.gif

想详细了解 Lens 相关的完整详情,请参阅 Lens 的发布博文。或者也可以查看 Kibana 博文,了解在 7.5 中所推出的Kibana的所有其他功能。

Elasticsearch “索引时丰富”选项使数据更加丰满

向前一直回溯至 Elasticsearch 5.0,我们在那个版本中,首次推出了“摄入管道(ingest pipeline)”,通过这种方式,用户可以在索引文档时,对文档进行处理和丰富。通过直接在Elasticsearch 中整合这一功能,用户可以轻松地通过 API 进行配置,很容易扩展,而且性能十分之快。多年来,我们看到这一功能得到了广泛的应用,我们目前在几乎所有模块(亦即我们提供原生支持的诸多数据源)中都调用这个功能,来进行数据的处理和丰富。无论是使用 grok 或 dissect 解析一行日志,还是为 IP 地址来添加地理位置数据,摄入管道都在逐渐成为在 Elastic Stack 中进行“摄入时处理”的主要工具。随着 7.5 的发布,我们非常兴奋地推出用户呼声最高的功能之一:基于查询结果进行丰富。通过新的 Enrich 处理器,用户能够高效地对 Elasticsearch 索引进行查询,并在索引时将查询结果添加到文档中。这个处理器能够使您完成很多的处理,例如根据已知的 IP 地址识别网络服务或供应商,基于用户的地理坐标添加邮编,或者从配置管理数据库(CMDB)中查询所采集主机的信息,并在索引时将相关元数据添加到文档中。

如需了解有关于 Enrich 处理器的更多信息,并查看 7.5 中推出的全部崭新 Elasticsearch 的全新功能,欢迎阅读 Elasticsearch 博文

Elastic Stack 还我们提供了其它解决方案:针对我们最常见的用例定制了专用应用。继续阅读,了解有关 Observability、Security 和 Enterprise Search 的诸多亮点。

Elastic Enterprise Search

Elastic Enterprise Search 旨在为企业的人员/团队供给对他们而言最重要的内容。对于那些严重依赖于 Microsoft 产品的公司/组织而言,Elastic Enterprise Search 能够使用户实现与 SharePoint Online、Office 365 和 OneDrive 的一键式集成,让他们更加轻松地将所有内容平台整合在一起,并进行搜索。除此以外,Enterprise Search 还具有全新的 ServiceNow 连接器,能够让您将全部业务运维信息集中到一处。借助这些新增的数据源,再加上之前已具备的数据源,例如 Salesforce、Google Drive、Atlassian JIRA、Confluence、Dropbox 等等,您的团队现在能够专注于他们需要完成的工作。

7.5-stack-blog-screenshot-enterprise-search-7-5-sources.jpg

Elastic Enterprise Search 现在已经有了发布的版本号,并且会随着 Elastic Stack 一起发布;Elastic  Enterprise Search 是此次 7.5.0 版本发布的一部分,目前仍为测试版。如欲了解新功能,请查看 Enterprise Search 博文

Elastic Observability

Elastic 坚信:如要想要彻底洞察您的应用程序和基础架构,您需要能够查看(或观测)到它的每一个侧面。Elastic Observability 将我们的多款产品(包括 Elastic Logs、Metrics、APM 和 Uptime)整合在了一起,让您能更完整、更全面地了解整个公司/组织。Elastic Stack 7.5 版对 Elastic Metrics 做了大幅扩展,并且在 APM、日志和安全数据之间添加了多项关键集成,从而使公司更容易的开展可观察性项目。 

我们在指标方面加大了开发投入,新增了 Metrics Explorer 。Metrics Explorer 是一个专门构建的用户界面,可对指标进行实时分析。我们还使用户能够,针对他们最重要的基础架构和服务指标(包括 Kubernetes、Prometheus、Amazon Web Services (AWS)),进行一站式的数据集成,让用户能够更轻松地开展指标的洞察和浏览。我们在 7.5 中继续和第三方进行集成,由于已与 Microsoft 达成了合作,所以在这个版本中推出了新功能,让用户可一站式监测 Microsoft Azure 的指标和日志。最后,我们还针对在 Elastic Metrics 和 Logs 应用中直接查看终端安全数据增加了初期支持。这些新功能可帮助 Elastic Stack 用户在监测关键服务方面,更快地进行设置,让他们更高效地将指标与重要事件(例如来自终端设备的审计日志)集成在一起,进行关联查看。 

7.5-stack-blog-screenshot-apm-transactions.png

希望了解更多详情,请查看 Observability 博文

Elastic Security

对于使用 Elastic Stack 保护公司/组织安全的用户而言,现在是一个值得兴奋的时刻。自从上一版本推出以来,我们完成了对领先终端安全公司 Endgame 的并购,并且宣布对于 EPP/EDR 产品不再按终端数量计费。现在我们 Enterprise 级别的订阅服务中包括了无限的终端数量,所以您再也不必需费心的选择,到底应该保护哪一部分设备的安全性了。对于服务器,如果您正在采集安全和运行数据,为什么不同时确保这些数据的安全呢?而且不局限于服务器;安全分析师应该使用到来自所有基础设施(包括台式机和笔记本电脑)的安全事件。Elastic SIEM 7.5 版现已直接将终端安全数据和告警包含在了 SIEM 应用中。 

我们还在 Elastic SIEM 7.5 版本中继续加大研发的力度,帮助用户通过 Machine Learning 检测威胁,从 DNS 活动中识别出可以表明 DNS 隧道活动或指令和控制行为的异常模式,还包括通过 RDP 进行的异常登录,还有使用 runas 指令,等等不胜枚举的场景。SIEM 应用自身也在扩展,包含大量的崭新可视化和小组件,帮助用户更轻松地跟踪威胁,既有主机活动的交互式可视化,也有崭新的 TLS 视图,此视图不但能展示异常证书,还可基于 TLS 指纹(例如 JA3 哈希)简化跟踪。 

4_7.5-stack-blog-animated-gif-endgame.gif

如想详细了解我们关于 Elastic SIEM 和 Elastic Endpoint Security 的愿景,请在此处观看发布公告,也可查看我们的 Security 博文详细了解 7.5 中的新功能。 

篇幅有限,不胜枚举

7.5 还有非常多的其它功能。请查看各产品的博文,从而详细的了解我们在 7.5 版本中添加的所有新功能:

Elastic Stack

解决方案