Elastic Common Schema

Estructurar los datos en Elasticsearch

Elastic Common Schema (ECS) proporciona una forma coherente de estructurar tus datos en Elasticsearch y facilita el análisis de datos de diversas fuentes. Con ECS, el contenido de analíticas, como los dashboards y las reglas de detección, pueden aplicarse de manera más amplia, las búsquedas pueden diseñarse de manera más limitada y los nombres de campo son más fáciles de recordar.

Primeros pasos con Elasticsearch: almacenar, buscar y analizar con el Elastic Stack gratuito y abierto.
Mira el video
Introducción a ELK: da los primeros pasos con logs, métricas, ingesta de datos y visualizaciones personalizadas en Kibana.
Mira el video
Primeros pasos con Elastic Cloud: inicia tu primer despliegue.
Conoce más

¿Por qué un esquema común (Common Schema)?

Ya sea que estés haciendo un análisis interactivo (por ejemplo, búsqueda, exploración profunda con dinamización, visualización) o un análisis automatizado (por ejemplo: alertas, detección de reglas y detección de anomalías basada en machine learning), debes poder examinar tus datos de manera uniforme. Pero a menos que tus datos se originen de una única fuente, te enfrentas a inconsistencias de formato debido a los distintos tipos de datos y entornos heterogéneos con diversos estándares de proveedores.

¿Qué es ECS?

ECS es una especificación open source basada en la comunidad que define un set común de campos, sus tipos de datos de Elasticsearch, los valores permitidos y la jerarquía de uso de los datos ingestados en Elasticsearch. Unifica todos los modos de análisis disponibles en Elastic, incluida la búsqueda, la exploración profunda con dinamización, la visualización de datos, la detección de anomalías basada en machine learning, las reglas de detección y las alertas.

Screenshot of ECS

Desarrollo de contenido simplificado

ECS reduce la cantidad de tiempo que dedicas al desarrollo de contenido de analíticas. En lugar de crear nuevas búsquedas y dashboards cada vez que tu organización agregue una nueva fuente de datos, podrás continuar aprovechando las búsquedas y dashboards existentes. ECS también le facilitará enormemente a tu entorno la adopción de contenido de analíticas directamente de otras partes que usan ECS, ya sea Elastic, un socio o un proyecto open source.

Screenshot of ECS simplified content

Okta Brute Force Attack detection rule based on ECS

Integraciones de Elastic

Elastic proporciona integraciones listas para usar para transmitir logs, eventos, métricas, rastreos, contenido y más desde tus apps, endpoints, infraestructura, cloud, red, herramientas del lugar de trabajo y toda otra fuente común en tu ecosistema. Estas integraciones garantizan que puedas interactuar con tus datos en las soluciones de Elastic como Security y Observability, entre otras áreas del Elastic Stack.
 
Los datos ingestados de estas integraciones ya están mapeados a ECS. Simplemente habilita la integración e ingesta datos, y puedes comenzar a interactuar con tus datos con formato ECS.

Mapeo de datos a ECS

Mientras que las integraciones de Elastic mapean automáticamente los datos a ECS, es probable que tengas otras fuentes de datos que desees normalizar en ECS, para aprovechar los beneficios allí también. Existen muchas opciones disponibles para ayudarte a mapear los datos a ECS. En este blog se proporciona un gran ejemplo de mapeo de una fuente de datos de seguridad a ECS.

Involúcrate con ECS

ECS es un esquema que evoluciona con actualizaciones regulares para abordar nuevos casos de uso, basado en los comentarios de la comunidad.

¿Quieres conocer más? Explora la documentación de ECS en Elastic.co o en el repositorio de ECS.  

¿Tienes una pregunta o sugerencia? Visita los foros de debate de Elastic, únete a nosotros en el canal de Slack de la comunidad de ECS o abre una consulta en el repositorio de ECS.