Elastic Common Schema

Daten in Elasticsearch strukturieren

Mit dem Elastic Common Schema (ECS) können Sie Ihre Daten in Elasticsearch einheitlich strukturieren, um Daten aus vielfältigen Quellen zu analysieren. Mit dem ECS können Sie Analytics-Inhalte wie etwa Dashboards und Erkennungsregeln umfangreicher einsetzen, Suchvorgänge exakter eingrenzen und sich Feldnamen einfacher merken.

Erste Schritte mit Elasticsearch: Speichern, Durchsuchen und Analysieren mit dem kostenlosen und offenen Elastic Stack

Video ansehen

Einführung in ELK: Erste Schritte mit Logdaten, Metriken, Dateningestion und nutzerdefinierten Visualisierungen in Kibana

Video ansehen

Erste Schritte mit Elastic Cloud: So starten Sie Ihr erstes Deployment

Mehr erfahren

Was bringt ein gemeinsames Schema?

Egal, ob Sie interaktive Analysen (Suche, Drill-down und Pivot-Analyse, Visualisierungen usw.) oder automatischen Analysen (etwa Alerting oder Anomalieerkennung mit Machine Learning) durchführen – Sie brauchen eine gemeinsame Basis für Ihre Daten, um sie einheitlich untersuchen zu können. Wenn Ihre Daten jedoch aus verschiedenen Quellen stammen, treten oft Formatierungsprobleme durch unterschiedliche Datentypen und heterogene Umgebungen mit vielfältigen Anbieterstandards auf.

Was ist ECS?

ECS ist eine von unserer Community unterstützte Open-Source-Spezifikation und definiert einen gemeinsamen Satz von Feldern, deren Elasticsearch-Datentypen, zulässige Werte und eine Nutzungshierarchie für Daten beim Ingestieren in Elasticsearch. ECS vereint alle im Elastic Stack verfügbaren Analysemodi, inklusive Suche, Drilldown- und Pivot-Analysen, Datenvisualisierung, Machine-Learning-basierte Anomalieerkennung, Erkennungsregeln und Alerting in einer einzigen Lösung.

Screenshot of ECS

Einfache Inhaltsentwicklung

Mit ECS können Sie Analytics-Inhalte schneller entwickeln. Anstatt für jede neu hinzukommende Datenquelle neue Suchen und Dashboards erstellen zu müssen, können Sie einfach weiterhin Ihre vorhandenen Suchen und Dashboards verwenden. In Umgebungen mit ECS können Sie Analytics-Inhalte von anderen Parteien, die ECS ebenfalls nutzen, mühelos und direkt übernehmen, egal ob von Elastic, einem Partner oder einem Open-Source-Projekt.

Screenshot of ECS simplified content

Okta Brute Force Attack detection rule based on ECS

Elastic-Integrationen

Mit den vorkonfigurierten Integrationen von Elastic können Sie Logs, Events, Metriken, Traces, Inhalte und vieles mehr aus Ihren Apps und Endpunkten, Ihrer Infrastruktur, Ihren Clouds und Netzwerken, Ihren Arbeitsplatz-Tools und allen sonstigen Quellen in Ihrem Ökosystem per Streaming übertragen. Diese Integrationen sorgen dafür, dass Sie in den Elastic-Lösungen wie etwa Security und Observability sowie in anderen Bereichen des Elastic Stack mit Ihren Daten interagieren können.
 
Die aus diesen Integrationen ingestierten Daten sind bereits zu ECS zugeordnet. Sie können einfach die Integration aktivieren, Daten ingestieren und beginnen, mit Ihren ECS-formatierten Daten zu interagieren.

Daten zu ECS zuordnen

Die Elastic-Integrationen können zwar vielerlei Daten automatisch zu ECS zuordnen, aber Sie haben bestimmt noch weitere Datenquellen, die Sie gerne in ECS normalisieren möchten, um die Vorteile nutzen zu können. Sie können Ihre Daten auf vielerlei Arten zu ECS zuordnen. Dieser Blogbeitrag liefert ein hervorragendes Beispiel für die Zuordnung von Sicherheitsdatenquellen zu ECS.

Erste Schritte mit ECS

ECS ist ein dynamisches Schema mit regelmäßigen Updates, um auf Basis des Feedbacks aus der Community neue Anwendungsfälle zu unterstützen.

Möchten Sie mehr erfahren? Entdecken Sie die ECS-Dokumentation unter Elastic.co das ECS-Repository.  

Haben Sie Fragen oder Vorschläge? Besuchen Sie die Elastic-Diskussionsforen, besuchen Sie uns im Slack-Kanal der ECS-Community oder eröffnen Sie einen Fall im ECS-Repository.