Elastic Common Schema

在 Elasticsearch 中建立清晰数据结构

Elastic Common Schema (ECS) 提供了一种在 Elasticsearch 中建立清晰数据结构的一致方式,方便分析来自不同来源的数据。通过 ECS,用户可以更加广泛地应用诸如仪表板和检测规则等分析内容,可以更加有针对性地创建搜索,还能更轻松地记住字段名称。

Elasticsearch 入门:使用免费且开放的 Elastic Stack 进行存储、搜索和分析。

观看视频

ELK 简介:即刻体验 Kibana 中的日志、指标、数据采集和定制可视化等功能。

观看视频

Elastic Cloud 入门:启动您的首个部署。

了解详情

为何使用 Common Schema?

无论要执行交互式分析(例如搜索、深入查看、透视和可视化),还是要执行自动化分析(例如告警、检测规则和 Machine Learning 驱动的异常检测),您都需要能够采用统一的格式来检查数据。但是,除非您的数据来源都是同一个,否则由于数据类型不同,各种环境采用的供应商标准各异,您将面临数据格式不一致的问题。

什么是 ECS?

ECS 是一个社区驱动型的开源规范,它定义了一组通用字段、这些字段的 Elasticsearch 数据类型、允许的值和采集到 Elasticsearch 的数据的使用层级。它将 Elastic 中可用的所有分析模式都整合在了一起,包括搜索、向下钻取和透视、数据可视化、基于 Machine Learning 的异常检测、检测规则以及告警。

Screenshot of ECS

简化内容开发

ECS 可以减少您在开发分析内容上所花费的时间。在公司或组织添加新的数据源时,您可以继续利用已有的搜索和仪表板,而不必每次都创建新的搜索和仪表板。通过采用 ECS,您的环境还可以无比轻松地直接采用那些使用 ECS 的其他方(无论是 Elastic、合作伙伴,还是开源项目)的分析内容。

Screenshot of ECS simplified content

Okta Brute Force Attack detection rule based on ECS

Elastic 集成

Elastic 提供了多种开箱即用型的集成,能够从各种应用、终端、基础架构、云、网络、工作场所工具和生态系统中的所有其他常见来源中流式传输日志、事件、指标、痕迹、内容等。这些集成确保您可在 Elastic 解决方案(例如安全可观测性)以及 Elastic Stack 的其他领域中与您的数据进行交互。
 
从这些集成中采集的数据已经映射到 ECS。您只需启用集成、采集数据,即可开始与 ECS 格式的数据进行交互。

将数据映射到 ECS

虽然 Elastic 集成会自动将数据映射到 ECS,但您可能还希望将其他数据源标准化为 ECS 格式,以便从中获得益处。有很多选项可以帮助您将数据映射到 ECS。这篇博文就提供了一个很好的示例,介绍如何将安全数据源映射到 ECS。

积极使用 ECS

ECS 是一个不断发展的架构,会根据社区反馈定期进行更新,以解决新的用例。

希望了解更多详情?请访问 Elastic.co/cnECS 存储库,浏览 ECS 文档。 

有任何疑问或建议?请访问 Elastic 论坛,加入我们的 ECS 社区 Slack 频道,或者在 ECS 存储库 中开启一个问题。