Elastic Stack 功能

收集您 Linux 审计框架的数据，监控文件完整性。Auditbeat 实时采集这些事件，然后发送到 Elastic Stack 其他部分做进一步分析。

Filebeat 和 Metricbeat 为您提供了多种方式来监测自己的 Web 服务器和代理服务器，包括针对 NGINX、Apache、HAProxy、IIS 等的模块和预配置仪表板。

Filebeat 和 Metricbeat 包含内置模块，这些模块能够简化从数据存储、数据库和队列系统（例如 MySQL、MongoDB、PostgreSQL、Microsoft SQL 等等）采集、解析和可视化常见日志格式和系统指标的过程。

通过单一管理平台跟踪 Amazon Web Services、Google Cloud 和 Microsoft Azure 等各种云服务的性能和可用性，以推动大规模的高效分析。此外，通过 Functionbeat，您能够非常简便地观测包括 Kinesis、SQS 和 CloudWatch 日志在内的无服务器云架构。

监测您的应用程序日志，随时关注 Kubernetes 指标和活动，并且分析 Docker 容器的性能。使用专门针对基础架构操作而构建的单个应用，便可对所有这些内容进行可视化和搜索。 

HTTP、DNS 和 SIP 等网络信息能够让您密切监测应用程序延迟和错误、响应时间、SLA 性能、用户访问模式和趋势，等等。深挖这些数据，了解流量的网络传输状态。

检测威胁的关键可能来自任何地方。因此，实时了解环境中发生的事情十分重要。Agent 和 Beats 采集了大量的商业和 OSS 安全数据源，从而可以进行大规模的监测和检测。

无论您要测试同一台主机上的服务，还是要测试开放网络上的服务，Heartbeat 都能轻松生成运行状态数据和响应时间数据。

使用 File Data Visualizer（文件数据可视化工具），您可以向 Elasticsearch 中上传 CSV、NDJSON 或日志文件。File Data Visualizer 会使用文件结构 API 来识别文件格式和字段映射关系，然后您便可选择将数据导入至索引。

在真正索引文档之前，使用采集节点对文档进行预处理。采集节点会拦截批量或索引请求，对其进行转化，然后再将这些文档传回索引或批量 API 中。采集结点提供超过 25 种不同的处理器，包括附加、转化、日期、分解、丢弃、失败、grok、连接、移除、设置、拆分、排序、删除字符等等。

分析指将文本（例如任何电子邮件的正文）转换为分词或词语（会添加到倒排索引中用于搜索）的过程。分析过程由分析器完成，所用分析器既可以是内置型的，也可以是使用分词器和筛选器针对每个索引单独定义的定制分析器。

分词器会接收字符流，然后将字符流拆分成单独的分词（通常为单独的词语），并输出分词流。分词器还负责记录每个词语的顺序或位置（以用于短语和词语邻近度查询），也会记录词语所代表的的原始词汇的起始和结束字符偏移量（以用于高亮显示搜索片段）。Elasticsearch 提供大量的内置分词器，这些分词器可用来创建定制分析器。

分词筛选器可接受来自分词器的分词流，还能编辑分词（例如变为小写字母）、删除分词（例如移除停用词），或者添加分词（例如同义词）。Elasticsearch 有很多内置的分词筛选器，这些筛选器可用来创建定制分析器。

以您自己的语言搜索。Elasticsearch 提供逾 30 个语言分析器，包括很多使用非拉丁字符集的语言，例如俄语、阿拉伯语和中文。

Grok 模式类似正则表达式，可以支持能够重复使用的别名表达式。使用 Grok 从文档内的单一文本字段中提取结构化字段。这一工具非常适用于下列内容：syslog 日志、Web 服务器日志（例如 Apache、MySQL 日志），以及通常为人类（而非计算机）使用而编写的日志格式。

如果使用数据馈送，您可以添加脚本以在进行分析之前对数据进行转换。数据馈送包括可选的 script_fields 属性，您在这里可以指明脚本，这些脚本可对自定义表达式进行评估并返回脚本字段。通过这一功能，您能够进行多种转化。

使用 Logstash 外部查询插件，在采集时便对日志数据进行扩充。轻松为日志行提供辅助内容，赋予它们更多上下文信息，例如客户端 IP 地址、DNS 查询结果，甚至来自临近日志行的数据等信息。Logstash 有各种各样的查询插件可供选择。

match 采集处理器能够允许用户在采集时查询数据并指明从哪个索引中提取已扩充数据。这可帮助到需要向数据中添加元素的 Beats 用户，他们现在无需从 Beats 转换到 Logstash，可以直接参考采集管道。用户还能够使用处理器对数据进行标准化，从而取得更好的分析效果，并完成更多常见查询。

geo-match enrich 处理器十分实用，能够让用户改善搜索和汇总功能，因为借助这一工具，用户无需以地理坐标形式定义查询和汇总，便能利用自己的地理数据。与 match enrich 处理器类似，用户可以在采集时查询数据并找到需从中提取已扩充数据的最佳索引。

Elasticsearch 使用的是 RESTful 风格的标准 API 和 JSON。此外，我们还构建和维护了很多其他语言的客户端，例如 Java、Python、.NET、SQL 和 PHP。与此同时，我们的社区也贡献了很多客户端。这些客户端使用起来简单自然，而且就像 Elasticsearch 一样，不会对您的使用方式进行限制。

Elasticsearch 提供大量的节点类型，其中有一种便是专门针对数据采集的。采集节点可以执行预处理管道（由一个或多个采集处理器构成）。取决于采集处理器所执行操作的类型以及所需的资源，比较合理的一种做法可能是设立专门的采集节点，让它们仅执行此项具体任务。

Elastic Agent 是单一的统一代理，您可以将它部署到主机或容器来收集数据并将数据发送到 Elastic Stack。您可以使用它为每个主机添加对日志、指标和其他类型数据的监测。Elastic Agent 控制的主机可以使用 Endpoint Security 集成，通过监测主机的安全相关事件来提供保护，同时允许通过 Kibana 中的 Elastic 安全应用来调查安全数据。

Beats 是开源数据采集器，您可以将其作为代理安装在服务器上，从而将运行数据发送到 Elasticsearch 或 Logstash。Elastic 提供各种 Beats 来采集各类常见日志、指标以及其他各种数据类型。

如果您有特定的用例需要解决，我们鼓励您创建一个社区 Beat。我们创建了一个基础架构来简化这一流程。libbeat 库完全以 Go 写成，可以提供一个 API，所有 Beat 都可使用该 API 向 Elasticsearch 输送数据、配置输入选项、实施日志以及完成其他操作。

Logstash 是一个开源的数据采集引擎，具有实时管道传输功能。Logstash 能够将来自单独数据源的数据动态集中到一起，对这些数据加以标准化并传输到您所选的地方。清理并民主化您的全部数据，将其用于多样化的高级下游分析和可视化用例。

您可以向 Logstash 中添加您自己的输入、编解码器、筛选器或者输出插件。可以独立于 Logstash 核心组件来开发和部署插件。而且您还可以编写自己的 Java 插件来搭配 Logstash 使用。

Elasticsearch for Apache Hadoop（亦称 Elasticsearch-Hadoop 或 ES-Hadoop）是一个免费开源、单体可执行的独立小型库，支持 Hadoop 作业与 Elasticsearch 进行交互。有了这一工具，您可以轻松构建动态的嵌入式搜索应用来处理 Hadoop 数据，还可以使用全文本、空间地理查询和聚合来执行深入的低延时分析。

Elasticsearch 是一款免费开源且不区分语言的应用程序，您可以使用插件和集成选项轻松扩展 Elasticsearch 的功能。通过各种插件，您能够以定制方式增强核心 Elasticsearch 功能，而多种集成选项能够让您更轻松地使用 Elasticsearch 的外部工具或模块。

Fleet 在 Kibana 中提供了一个基于 Web 的 UI，用于添加和管理常用服务和平台的集成，以及管理一组 Elastic Agent。我们的集成不仅提供了一种添加新数据源的简便方法，而且还附带了众多开箱即用型的资源，比如仪表板、可视化和管道，用于从日志中提取结构化字段。

使用 Kibana 中的管道管理 UI 来控制多个 Logstash 实例。说到 Logstash，只需启用配置管理并注册 Logstash，即可使用集中管理型管道配置。

Elasticsearch 针对文档中的字段支持大量不同的数据类型，而且这些数据类型中的每一种都拥有各自的多个子类型。这能够让您以十分高效和有效的方式存储、分析和利用任何数据。Elasticsearch 已针对某些数据类型进行优化，这些数据类型包括：

Elasticsearch 使用的是一种名为倒排索引的结构，这一结构的设计可以允许十分快速地进行全文本搜索。倒排索引包含一个由所有文档中出现的唯一词语构成的列表，对于每一个词语而言，则为该词语所在文档的列表。如要创建倒排索引，我们首先要将每个文档的内容字段拆分成单独的词语（我们称为词汇或分词），然后创建一个包含所有唯一词汇的有序列表，再然后列出每个词语出现在哪个文档中。

即使是非结构化数据，Elasticsearch 也能进行采集和分析（但进行结构化后可提高速度）。这一设计使得人们可以轻松上手，同时也使得 Elasticsearch 成为一个有效的文档存储库。尽管 Elasticsearch 不是 NoSQL 数据库，其仍能提供类似功能。

借助倒排索引，查询能够快速地查找搜索词语，但是排序和聚合却需要一套不同的数据访问模式。这些查询不会查找词语并寻找文档，相反它们需要能够查找文档并找到存在于文章字段中的词语。文档值是 Elasticsearch 中的磁盘数据结构，是在文档索引时创建的，正是这一结构使得此数据访问模式成为可能，允许以列式方式进行搜索。这一点使得 Elasticsearch 在处理时序和指标分析时表现十分突出。

Elasticsearch 使用 Lucene 内的 BKD 树来存储地理空间数据。这样便能够高效地同时分析地理地点（经纬度）和地理形状（矩形和多边形）。

虽然 Elastic Stack 不能直接实施数据静态加密，但我们建议在所有主机上都配置磁盘级别加密。此外，快照目标也必须确保对数据进行静态加密。

字段级安全性能够限制用户有权访问的字段。具体而言，其能限制从基于文档的只读 API 中可以访问哪些字段。

集群指一个或多个节点（服务器）的集合，它们共同存储您的全部数据并在所有节点上都提供联合索引和搜索功能。通过此架构，您能够非常轻松地进行水平扩展。Elasticsearch 提供全面且强大的 REST API 和 UI，供您用来管理自己的集群。

快照指基于正在运行的 Elasticsearch 集群制作的备份。您可以对单个索引或整个集群进行快照，然后将快照存储在共享文件系统上的存储库中。我们同时还提供插件来为远程存储库提供支持。

通过使用源内容存储库，您能够创建规模极小的纯源快照，其节省的磁盘空间可高达 50%。纯源快照包含存储的字段和索引元数据。它们不包括索引或文档值结构，而且恢复后也不能进行搜索。

保存历史数据以进行分析是一项十分有用的实践，但人们经常会由于存档大量数据带来的巨大财务成本而不这么做。因此，保留期限的长短由财务现实决定，而不会取决于大量历史数据的帮助作用。汇总功能为人们提供了一种汇总和存储历史数据的方法，这样人们仍可用其来进行分析，但是成本与存储原始数据相比却要小得多。

Elasticsearch 使用的是一种名为倒排索引的结构，这一结构的设计可以允许十分快速地进行全文本搜索。倒排索引包含一个由所有文档中出现的唯一词语构成的列表，对于每一个词语而言，则为该词语所在文档的列表。如要创建倒排索引，我们首先要将每个文档的内容字段拆分成单独的词语（我们称为词汇或分词），然后创建一个包含所有唯一词汇的有序列表，再然后列出每个词语出现在哪个文档中。

运行时字段是一种在查询时评估的字段（读时模式）。您可以随时引入或修改运行时字段（包括对文档编制了索引后），并且可以将运行时字段定义为查询的一部分。运行时字段和索引字段均通过相同的接口公开给查询，因此一个字段在某数据流的有些索引中可以是运行时字段，而在该数据流其他索引中可以是索引字段，而查询不需要知道这一点。索引字段可提供最优查询性能，运行时字段则可在对文档编制索引后允许灵活地更改数据结构，因此与索引字段形成了优势互补。

查找运行时字段可让您灵活地将查找索引中的信息添加到主索引的结果中，具体方式是在这两个索引上定义一个关联各文档的键。与运行时字段一样，这项功能在查询时使用，可以灵活地进行数据扩充。

通过跨集群搜索 (CSS) 功能，任何节点都可以作为跨多个集群的联合式客户端。跨集群复制节点不会加入远程节点；相反，它会以一种轻量型方式连接至远程集群，从而执行联合式搜索请求。

相似度（相关性评分/排名模型）定义对匹配文档进行评分的方式。默认情况下，Elasticsearch 使用 BM25 相似度，但同时还提供很多其他相似度选项；BM25 相似度是一种基于 TF/IDF 的高级相似度，其中包含针对短字段（例如名称）的内置 tf 标准化。

凭借 Lucene 9 新发布的近似最近邻搜索功能或基于 HNSW 算法的 ANN 支持，新的 _knn_search API 终端通过向量相似度，促进了可扩展性和性能更优的搜索体验。为实现这一点，它在查全率和性能之间进行了权衡，也就是说，在查全率上做一些微小的妥协，针对非常大的数据集大幅提升性能（与现有的向量相似度蛮力法相比）。

全文本搜索要求一种强大的查询语言。Elasticsearch 提供一套基于 JSON 的完整查询 DSL（域特定语言），可用来定义查询。创建简单查询以匹配词汇和单元，或者开发复杂查询来将多个查询整合到一起。此外，在查询时可以应用筛选器，以便先移除文档再计算相关性分数。

借助非同步搜索 API，用户能够在后台运行耗时很长的查询，跟踪查询进度，并检索提供的部分结果。

通过 Highlighter（高亮显示工具），您能够从搜索结果的一个或多个字段中高亮显示内容片段，以便向用户展示查询匹配之处。当您请求高亮显示时，响应内容会包含每一条搜索匹配结果中的高亮元素，其中包括高亮字段和高亮片段。

补全提示器可提供 auto-complete/search-as-you-type（自动完成/输入即搜索）功能。这项导航功能能够在用户输入时引导用户找到相关结果，从而提高搜索精准度。

词语提示器是拼写检查的根基，此工具可根据编辑距离提示词语。其首先会分析所提供的提示文本，然后才会建议词语。会为每个所分析的提示文本分词提供建议词语。

短语提示器通过在词语提示器的基础上构建更多逻辑，向搜索体验中加入 did-you-mean（您指的是 XXX 吗）功能，让用户能够选择改正后的整个短语，而不再是基于 ngram 语言模型计算权重后的单个分词。在实际应用中，此提示器就基于固定搭配和频率应该选择哪个分词，能够做出更好的决策。

标准做法是通过查询来找到存储在索引中的文档，但是 Percolator（过滤器）却颠覆了这种做法，您可用其来将文档与索引中所存储的查询进行匹配。percolate 查询自身即包含文档，这些文档将会用作查询与所存储的查询进行匹配。

剖析 API 可以提供搜索请求中有关单独组件执行情况的详细时间信息。它能够让您从详尽层面深入了解搜索请求的执行过程，以便您可以理解为何某些请求的处理速度慢，进而采取措施加以改进。

通过字段级安全性和文档级安全性，可以对搜索结果进行限制，从而仅包含用户有权访问的结果。具体而言，其能限制从基于文档的只读 API 中可以访问哪些字段和文档。

“取消查询”是 Kibana 中的一项实用功能，能够通过减少不必要的处理过载来帮助提升集群的整体性能。如果用户更改/更新他们的查询或刷新浏览器页面，则不会自动取消 Elasticsearch 请求。

聚合框架可以基于搜索查询帮助提供聚合后的数据。该框架的基础是称为聚合的简单构建基块，人们可以对这些构建基块进行编辑以生成有关数据的复杂汇总。可以将聚合看做一个工作单元，用来针对一组文档创建分析信息。

通过 Graph 探索 API，您能够提取并汇总 Elasticsearch 索引中文档和词语的相关信息。了解此 API 行为的最好方法就是使用 Kibana 中的 Graph 来探索彼此间的联系。

创建阈值告警，以定期检查 Elasticsearch 中的数据在给定时间段内何时超出或低于某个特定阈值。X-Pack 中的告警功能可让您充分利用 Elasticsearch 查询语言，当数据发生令您感兴趣的变化后，您能够发现这些变化。

通过推理，您不仅可以将监督型 Machine Learning 进程（例如回归或分类）用作批量分析，而且还可用于持续分析。通过推理，您可以针对入站数据应用已训练的 Machine Learning 模型。

语言识别是一个经训练的模型，可用来确定文本的语言。您可以在推理处理器中应用语言识别模型。

Elastic Machine Learning 针对您的数据的正常行为创建基线之后，您可以使用这些信息来推测未来行为。然后，即可创建一套预测方法，来估计未来特定日期的时序值，或者预估未来出现某个特定时序值的几率。

Elastic Machine Learning 功能通过为数据中的正常行为创建准确基线并且识别数据中的异常模式，可实现时序型数据分析的自动化。通过使用专有的 Machine Learning 算法，可以检测到异常情况，对其进行评分，并将其与数据中具有重大统计意义的影响因素联系在一起。

对于那些难以通过设置规则和阈值来定义的变化，可以通过结合非监督型机器学习功能来找出异常行为。然后使用告警框架中的异常分数，在出现问题时获得通知。

使用 Elastic Machine Learning 功能创建“典型”用户、设备或其他实体在特定时间段内的配置文件，然后在用户、设备或其他实体的行为异于群体时即可将这些异常对象找出来。

应用程序日志事件通常并无结构可依，而且还包括变量数据。Elastic Machine Learning 功能会探究消息的静态部分，将相似消息聚集在一起，并将它们归到消息类别中。

检测到异常后，Elastic Machine Learning 功能可以轻松识别对此有重大影响的属性。例如，如果交易量异常下降，您可以迅速找到导致此问题的故障服务器或错误配置的交换机。

Data Visualizer（数据可视化工具）通过分析日志文件或现有索引中的指标和字段，帮助您更好地理解自己的 Elasticsearch 数据，并识别可进行 Machine Learning 的潜在字段。

使用多个检测器创建复杂的 Machine Learning 作业。多指标作业先会基于您在作业中定义的两个检测器对输入数据流进行分析、为其行为建模并且执行分析，然后您便可使用“异常浏览器”来查看结果。

非监管型离群值检测功能通过四种基于距离和密度的 Machine Learning 方法来查找与众不同的数据点。通过使用“创建数据帧分析作业”API，便可针对离群值检测过程创建数据帧分析作业。

如果发生计划外系统中断，或者如果在异常检测中发现有一些其他事件会导致出现令人误解的结果，您可以将模型快速恢复至所需的快照。

APM 服务器会从 APM 代理处接收数据，然后再将这些数据转换为 Elasticsearch 文档。它是通过暴露 HTTP 服务器端点（代理会将所收集的 APM 数据流式传输到此端点）来实现这一点的。APM 服务器对来自 APM 代理的事件进行验证和处理之后，服务器会将数据转换为 Elasticsearch 文档，并将这些文档存储在相应的 Elasticsearch 索引中。

APM 代理是以您服务所用的相同语言编写的开源库。您可以像安装任何其他库一样，将 APM 代理安装到您的服务中。它们可以检测您的代码并在运行时收集性能数据和错误。这些数据会缓存一小段时间，然后发送到 APM 服务器。

查找并修复代码中存在的问题归根结底就是搜索。通过 Kibana 中的专用 APM 应用，您能够识别瓶颈并在代码层面准确定位到存在问题的地方。因此，您能够编写更好、更高效的代码，进而帮助您加快“开发-测试-部署”周期，让您的应用程序运行更快，客户体验更佳。

纳闷您的请求是如何流经整个基础架构的？通过分布式跟踪将所有内容整合到一起，清晰查看您的各项服务之间的交互情况。查找路径中哪个位置发生了延时问题，然后准确定位到需加以优化的组件。

随时了解代码的运行表现。可以选择在遇到问题时接收电子邮件通知，也可以选择在一切运行正常时接收 Slack 通知。

服务地图能够以可视方式向您展示服务的连接状况，并提供整体的事务类指标，例如平均事务时长、请求率和错误率，以及 CPU 和内存的使用情况。

从 APM 应用直接创建 Machine Learning 任务。通过 Machine Learning 功能（此功能可自动对您的数据建模）快速找到异常行为。

Kibana 仪表板会展示一系列可视化和搜索。您可以排列和编辑这些仪表板的内容并相应调整大小，然后保存仪表板以便分享。您可以在多个仪表板之间创建定制深入分析，甚至可以创建对 Web 应用程序的深入分析，以便采取行动和做出决策。

Canvas 是一种全新方法，能够让您以炫酷方式向人们展示数据。Canvas 将数据与颜色、形状、文本以及您自己的想象力结合在一起，让您在或大或小的屏幕上动态展示达到完美像素要求的多页数据。

用户体验数据反映了真实的用户体验。量化和分析 Web 应用程序的感知性能。

Kibana Lens 是一个直观易用的 UI，能够通过拖放体验简化数据可视化过程。无论想探索数十亿条日志，还是希望从网站流量中找出趋势，通过 Lens，您只需轻点几下鼠标便可从数据中收获洞见，之前无需拥有任何 Kibana 经验！

时序可视化生成器 (TSVB) 是一个时序数据可视化工具，利用了 Elasticsearch 聚合框架的全部威力，可将无数的聚合和管道聚合整合在一起，从而以富有成效的方式展示复杂数据。

图表分析功能能够让您发现 Elasticsearch 索引中项目彼此间的联系。您可以探究索引词语间的联系，并看看哪些联系对您的用处最大。这一功能在多类应用程序中都有很大用处，从欺诈检测到推荐引擎，都离不开它。

对 Elastic Stack 的很多用户而言，“哪里”是一个至关重要的问题。无论您希望保护自己的网络免受攻击，还是调查为何特定地点的应用程序响应时间长，或者只是打个网约车回家，地理空间数据和搜索都发挥着重要的作用。

您的应用程序和环境在不断演变，Elastic Stack 亦要如此。监测和搜索在您的应用程序、Docker 和 Kubernetes 内发生的事情，并对这些事情进行可视化，而且一切均在一个位置集中完成。

使用社区贡献的插件模块，向 Kibana 中添加更多功能。提供适用于各种应用、扩展、可视化以及更多内容的开源插件。插件包括：

通过我们易于理解的教程，学习如何向 Elasticsearch 中加载数据集，定义索引模式，发现并探索数据，创建可视化和仪表板，等等。

Kibana 运行时字段编辑器采用 Elasticsearch 的运行时字段功能，让分析师能够实时添加自己的定制字段。在索引模式、Discover 和 Kibana Lens 中，用户可以使用此编辑器创建、编辑或移除运行时字段。

在 Kibana 中，您可以轻松地与 Kibana 仪表板分享直接链接，还可在网页中嵌入仪表板以将其作为 iframe，既可以作为动态仪表板，也可以作为当前时间点的静态快照。

使用内置角色 kibana_dashboard_only_user 来限制用户登录到 Kibana 时可以看到的内容。kibana_dashboard_only_user 已预配置为 Kibana 的只读权限。当打开仪表板时，用户的视觉体验将会受到限制。所有编辑和创建控件都会予以隐藏。

通过 Kibana 中的 Spaces，您能够将仪表板和其他已保存对象划分到不同的类别，方便您的管理。进入特定工作区 (Space) 后，您便可立即看到其中所包含的仪表板和其他已保存对象。此外，如若启用 Security 功能，您可以控制哪些用户有权访问哪些单独的工作区，以享受更进一层的安全保障。

定制横幅广告有助于用户辨别适用于不同角色、团队、职能等对象的 Kibana Spaces。针对每个 Kibana Spaces 量身打造特别公告和讯息，帮助用户快速识别自己所在的 Space。

将 Discover 中的已保存搜索导出到 CSV 文件，并搭配外部文本编辑器加以使用。

轻松创建标记，并将它们添加到仪表板，通过可视化实现高效的内容管理。

能够为任何 Kibana 可视化或仪表板快速生成报告，并将报告保存为 PDF 或 PNG 格式。您可以即需即取报告、预约报告、根据特定条件触发报告，并自动将报告分享给他人。

在 Kibana 内使用 Maps 应用将来自多个索引的图层添加到单一视图中。由于这些图层均位于同一张地图上，您可以实时对全部图层进行搜索和筛选。选项包括等值线图层、热点图图层、磁贴图层、向量图形，甚至还有针对具体用例的图层，例如针对 APM 数据的可观测性。

向量磁贴可将您的地图划分成多个磁贴，而且与其他替代方法相比，它可以提供卓越的性能和流畅的缩放体验。所有新的多边形图层都会默认启用“使用向量磁贴”设置。如果您更想使用以 10,000 条记录为限的方法，则可以在图层设置中更改缩放选项。

在您选择的图纸上使用定制位置数据，即可创建区域地图（边界向量形状使用渐变色的主题地图）。

通过提供基础地图磁贴、形状文件以及对地理数据进行可视化所必需的关键功能，Elastic Maps Service 为 Kibana 中的所有地理空间可视化（包括 Maps 应用）提供支持。使用 Kibana 的默认分发包，您在地图上最多可以缩放 18 级。

Elastic Maps Server 将 Elastic Maps Service 的基础地图和边界应用到本地基础架构中。

GeoJSON Upload 功能不仅简单易用，而且十分强大。通过直接采集到 Elasticsearch 中，该功能可使地图创建者将包含点、形状和内容的 GeoJSON 文件拖放到地图中，以实现即时可视化。在跟踪数据驱动的对象移动时，使用 GeoJSON 定义的边界启用电子邮件或 webapp 告警。

当实体进入、离开或越过边界时会触发通知。当有实体停留在指定边界内时，可监测实体的位置。

使用 Maps 应用程序中内置的这个简单易用但功能强大的上传工具将 shapefile 加载到 Elastic 中。轻松加载本地开放数据和边界，以进行分析和比较。

Filebeat 将为您提供一种轻量型方法，用于转发和汇总日志与文件，让简单的事情不再繁杂。Filebeat 内置有多种模块（auditd、Apache、NGINX、System、MySQL 等等），可针对常见格式的日志大大简化收集、解析和可视化过程，只需一条命令即可。

通过范例 Filebeat 仪表板，您能够在 Kibana 中轻松地探索日志数据。通过这些预配置仪表板，便可快速入门，之后还可进行定制以满足您的需求。

日志速率分析由 Machine Learning 提供支持，可以自动高亮显示日志速率超出正常水平的时段，以便您快速识别和检查日志异常。

Logs 应用可以在小巧的定制显示器中提供实时的日志 tail 操作信息。日志文件已关联至 Metrics 应用中的指标，可让您更轻松地诊断问题。

Metricbeat 是一个轻量型采集器，您可以将其安装在服务器上，以定期从操作系统以及服务器上所运行的服务中收集指标。Metricbeat 能够以一种轻量型的方式，输送各种系统和服务统计数据，从 CPU 和内存，到 Redis 和 Nginx，不一而足。

通过范例 Metricbeat 仪表板，您能够在 Kibana 中轻松地开始监测服务器。通过这些预配置仪表板，便可快速入门，之后还可进行定制以满足您的需求。

借助实时反馈为您的指标创建阈值告警——在 Kibana 中的 Metrics 应用中便能直接完成创建；然后按照您所选的方式（文档、日志、Slack、简单的 Webhook 等等）收到通知。

直接从 Metrics UI 中通过一键式异常检测查找常见的基础架构问题。

指标能流式传输到 Elasticsearch 后，您便可使用 Kibana 中的 Metrics 应用对指标进行监测并实时发现问题。

Heartbeat 是一个轻量型守护进程，您可以将其安装在远程服务器上来定期检查服务状态并确定它们是否可用。Heartbeat 会采集服务器数据，这些数据随后会在 Kibana 中的 Uptime 仪表板和应用中进行展示。

通过范例仪表板，您能够轻松地在 Kibana 中对服务状态进行可视化。通过这些预配置仪表板，便可快速入门，之后还可进行定制以满足您的需求。

在 Uptime 应用中直接根据您的可用性数据轻松创建基于阈值的告警；然后按照您所选的方式（文档、日志、Slack、简单的 Webhook 等等）收到通知。

查看您的 SSL 或者 TLS 证书何时到期，或者在它们即将到期时收到通知，并且让您的服务直接显示在 Uptime 应用中。

模拟涵盖多步骤操作的用户体验，例如电商店铺的结账流程。在整个操作的每个步骤当中，捕获详细的状态信息，以确定问题区域，进而打造卓越的数字体验。

Kibana 中的 Uptime 应用设计用于帮助您快速识别和诊断网络/环境中的异常状况和其他连接问题。通过这个实用界面，轻松监测主机、服务、网站、API 等等。

使用 Elastic Common Schema (ECS) 统一分析来自不同来源的数据。通过 ECS，用户可以更加广泛地应用检测规则、Machine Learning 作业、仪表板以及其他安全内容，可以更加具有针对性地创建搜索，还能更轻松地记住字段名称。

Elastic Security 实现了 Elastic Agent 和 Elastic Beats 提供的终端数据的交互式分析，以及 Carbon Black、CrowdStrike 和 Microsoft Defender for Endpoint 等技术。使用会话视图探索 shell 活动，并使用分析器探索各个流程。

Elastic 安全能够为网络安全监测团队提供交互式地图、图表、事件表格等等。它支持众多的网络安全解决方案，既包括 Suricata 和 Zeek 等 OSS 技术，也包括来自 Cisco ASA、Palo Alto Networks 和 Check Point 等厂商的设备，还包括诸如 AWS、Azure、GCP 和 Cloudflare 等云服务。

Elastic Security 擅长实体分析。该解决方案提供了对用户活动的可见性，可帮助从业人员解决内部威胁、帐户接管、特权滥用和相关向量等问题。整个环境范围内的收集均支持安全监测，其中用户数据通过精心设计的可视化和表格进行呈现。用户背景信息会在猎捕或调查流程中显示，可快速获取进一步的详细信息。

使用时间线事件浏览器，分析师能够进行以下操作：查看、筛选、关联事件以及为事件添加备注；通过收集数据来揭示攻击的根本原因和影响范围；对调查人员进行校准；以及打包信息以供即时和长期参考。

内置案件工作流能够强化对检测和响应的控制能力。借助 Elastic 安全，分析师通过外部系统便可开立和更新案件，为案件添加标签和评论，以及关闭和整合案例。借助面向 IBM Resilient、Jira、Swimlane 和 ServiceNow 的开源 API 和预构建支持，与既有工作流保持一致。

检测引擎会执行基于技术的威胁检测，并对可能造成高价值破坏的异常提供告警。由 Elastic 安全研究工程师开发和测试的预构建规则，能够帮助用户实现快速采用。对于符合 Elastic Common Schema (ECS) 格式要求的任何数据，均可以创建自定义规则。

集成式 Machine Learning 可自动完成异常检测，提高检测性能并优化跟踪工作流。我们预构建的 Machine Learning 作业集能够帮助用户实现快速采用。告警和调查工作流会利用 ML 的结果。

Elastic 安全通过在 Elastic Agent 上执行的行为分析来预防勒索软件。这项功能通过分析来自底层系统进程的数据来阻止针对 Windows 系统的勒索软件攻击，并且对一系列广泛的勒索软件家族同样有效。

Elastic Agent 的恶意行为防护可以阻止终端的高级威胁，为 Linux、Windows 和 macOS 主机提供了一个新的保护层。恶意行为防护功能通过对执行后行为的动态防御，进一步加强对现有恶意软件和勒索软件的防御能力，从而阻止高级威胁的发生。

无署名的恶意软件防御功能可立即阻止 Linux、Windows 和 macOS 主机上的恶意可执行文件。这项功能由同样会收集安全数据并支持基于主机的检查和响应的 Elastic Agent 提供。基于 Kibana 的管理精简了部署和管理过程。

Elastic Agent 上的内存保护可阻止许多用于通过 shellcode 进行进程注入的技术，还阻止了很多子技术，例如线程执行劫持、异步过程调用、进程挖空和进程分身。

通过 Elastic 安全，用户能够轻松地在每个终端上部署 osquery，从而精简跨 Linux、Windows 和 macOS 主机的搜寻和主机检查流程。有了该解决方案，用户可以直接访问丰富的主机数据，并使用预构建或定制 SQL 查询进行检索，以在 Elastic 安全中进行分析。

使用 Elastic Agent 从无限量主机上收集网络活动。通过分析这些活动，可揭示网络边界内外无法被防火墙检测到的流量，帮助安全团队处理水坑攻击、数据泄露和 DNS 攻击等恶意行为。网络数据包分析器集成包含 Npcap 的免费商业许可。Npcap 是一个得到广泛部署的 Windows 数据包监听库，无论是什么操作系统，都可以在每台主机上实现网络可见性。

通过 eBPF 支持的轻量型代理来保护混合云工作负载和云原生应用程序。借助预构建的检测规则和 Machine Learning 模型自动发现运行时威胁。通过类终端视图进行调查，因为此视图能够呈现丰富的上下文。

获得有关多云环境中安全态势的可见性。查看调查结果，根据 CIS 控制措施对调查结果进行对标，并遵照修复建议来快速进行改善。