Fonctionnalités de la Suite Elastic

Collectez les données de votre framework d'audit Linux et monitorez l'intégrité de vos fichiers. Auditbeat transfère ces événements en temps réel vers la Suite Elastic en vue d'une analyse plus poussée.

Filebeat et Metricbeat proposent plusieurs méthodes de monitoring pour vos serveurs Web et vos serveurs proxy, y compris les modules et les tableaux de bord préconfigurés de Nginx, Apache, HAProxy, IIS et plus.

Filebeat et Metricbeat comprennent des modules internes qui simplifient la collecte, l'analyse et la visualisation des formats de log communs et des indicateurs système en provenance des datastores, des bases de données et des systèmes de file d'attente comme MySQL, MongoDB, PostgreSQL, Microsoft SQL, et plus.

Suivez les performances et la disponibilité d'un vaste éventail de services cloud fournis par Amazon Web Services, Google Cloud et Microsoft Azure à partir d'un point de surveillance unique afin d'obtenir des analyses efficaces à grande échelle. En outre, Functionbeat vous permet d'observer en toute simplicité votre architecture cloud sans serveur, notamment les logs CloudWatch, SQS et Kinesis.

Monitorez vos logs d'application, gardez un œil sur vos événements et indicateurs Kubernetes, et analysez la performance des conteneurs Docker. Lancez des recherches et affichez des visualisations via une application conçue pour les opérations d'infrastructure.

Avec les informations réseau comme HTTP, DNS et SIP, vous gardez un œil sur les latences et les erreurs applicatives, les temps de réponse, la performance des SLA, les modèles et tendances associées aux accès utilisateurs, et plus encore. Exploitez ces données pour comprendre le trafic de votre réseau.

Les menaces peuvent venir de partout. C'est pourquoi il est si important de pouvoir observer ce qui se passe dans votre environnement en temps réel. Agent et Beats ingèrent une multitude de sources de données de sécurité, commerciales ou open source. Résultat : vous pouvez appliquer le monitoring et la détection à grande échelle.

Que vous testiez un service local ou sur le Web, Heartbeat vous permet de générer les données de disponibilité et de temps de réponse avec une facilité déconcertante.

Grâce à File Data Visualizer, vous pouvez charger un fichier CSV, NDJSON ou log dans un index Elasticsearch. File Data Visualizer utilise l'API de structure de fichier pour identifier le format du fichier et les mappings de champ. Vous pouvez ensuite choisir d'importer les données dans un index.

Utilisez un nœud d'ingestion pour pré-traiter les documents avant de réellement les indexer. Le nœud d'ingestion intercepte les groupes et indexe les requêtes, applique les transformations, puis renvoie les documents à l'index ou aux API Bulk. Le nœud d'ingestion comprend plus de 25 processeurs, y compris "append" (ajouter), "convert" (convertir), "date" (dater), "dissect" (disséquer), "drop" (abandonner), "fail" (échouer), "grok", "join" (joindre), "remove" (supprimer), "set" (définir), "split" (découper), "sort" (trier), "trim" (simplifier), et bien plus.

L'analyse consiste en un processus de conversion du texte, comme le corps d'un e-mail, en tokens ou en termes qui sont ensuite ajoutés à un index inversé pour la recherche. Cette analyse est réalisée par un analyseur qui peut être intégré ou personnalisé et défini par index à l'aide d'une combinaison de générateurs de tokens et de filtres.

Un générateur de tokens reçoit un flux de caractères, le divise en tokens (généralement en mots), et sort un flux de tokens. Le générateur de tokens se charge également de l'enregistrement de l'ordre ou de la position de chaque terme (utilisé pour les recherches de proximité de mots et de phrases) ainsi que des décalages de caractère de début et de fin du mot d'origine que le terme représente (utilisés pour mettre en évidence des extraits de recherche). Elasticsearch est doté de plusieurs générateurs de tokens intégrés que vous pouvez utiliser pour construire des analyseurs personnalisés.

Les filtres de tokens prennent en charge un flux de tokens en provenance d'un générateur de tokens et peuvent modifier les tokens (par exemple les mettre en minuscules), les supprimer (par exemple éliminer les mots non significatifs), ou en ajouter (par exemple des synonymes). Elasticsearch est doté de plusieurs filtres de tokens intégrés que vous pouvez utiliser pour construire des analyseurs personnalisés.

Effectuez des recherches dans votre langue. Elasticsearch propose plus de 30 analyseurs linguistiques différents, y compris plusieurs langues utilisant des caractères non latins comme le russe, l'arabe et le chinois.

Un modèle grok est similaire à une expression régulière qui prend en charge les alias d'expressions qui peuvent être réutilisés. Utilisez Grok pour extraire des champs structurés d'un champ textuel dans un document. Cet outil convient parfaitement pour les logs Syslog, les logs de serveur Web comme Apache, les logs MySQL et tous les formats de log qui sont généralement écrits pour les utilisateurs plutôt que pour les machines.

Si vous utilisez des flux de données, vous pouvez ajouter des scripts pour transformer vos données avant de les analyser. Les flux de données contiennent une propriété "script_fields" en option, qui vous permet de spécifier des scripts qui évaluent des expressions personnalisées et d'afficher les champs de script. Vous pouvez effectuer plusieurs types de transformations avec cette fonctionnalité.

Enrichissez vos données de log au moment de l'ingestion avec les plug-ins de recherche externe de Logstash. Complétez facilement les lignes de log et donnez-leur plus de contexte avec des informations comme l'emplacement IP du client, les résultats de recherche DNS ou encore les données provenant de lignes de log adjacentes. Logstash est doté de plusieurs plug-ins de recherche parmi lesquels vous pouvez choisir.

Le processeur d'ingestion Match permet aux utilisateurs d'interroger leurs données au moment de l'ingestion et leur indique l'index depuis lequel ils peuvent extraire des données enrichies. Très utile pour les utilisateurs Beats qui doivent ajouter quelques éléments à leurs données : plutôt que de passer de Beats à Logstash, ils peuvent directement consulter le pipeline d'ingestion. Grâce au processeur, ils sont aussi en mesure de normaliser les données pour améliorer leurs analyses et traiter les requêtes courantes.

Aussi utile que pratique, le processeur d'enrichissement Geo-match permet aux utilisateurs de booster leurs fonctionnalités de recherche et d'agrégation grâce à leurs données géographiques. Le tout, sans devoir définir de requêtes ou d'agrégations en termes de coordonnées géographiques. Comme avec le processeur d'enrichissement Match, les utilisateurs peuvent interroger leurs données au moment de l'ingestion et rechercher l'index optimal depuis lequel ils peuvent extraire des données enrichies.

Elasticsearch utilise des API RESTful et JSON standards. Nous créons et maintenons également des clients dans de nombreux langages tels que Java, Python, .NET, SQL et PHP. Et, notre communauté en a ajouté encore plus. À l'image d'Elasticsearch, ils sont simples à utiliser, leur utilisation est naturelle, et ils vous offrent une foule de possibilités.

Elasticsearch propose plusieurs types de nœuds, et l'un d'eux sert spécifiquement à ingérer des données. Les nœuds d'ingestion peuvent exécuter des pipelines de prétraitement, qui se composent d'un processeur d'ingestion ou plus. En fonction du type d'opération réalisé par les processeurs d'ingestion et des ressources nécessaires, cela peut être utile de dédier des nœuds d'ingestion à la réalisation de cette tâche.

Elastic Agent est un agent unifié unique qui peut être déployé pour les hébergeurs ou conteneurs afin de collecter des données et de les envoyer à la Suite Elastic. Il vous permet d'ajouter le monitoring des logs, des indicateurs et d'autres types de données à chaque hébergeur. Les hébergeurs contrôlés par Elastic Agent exploitent Endpoint Security pour surveiller les événements de sécurité de l'hébergeur. L'étude des données de sécurité est rendue possible grâce à l'application Elastic Security disponible dans Kibana.

Les agents Beats sont des agents de transfert de données open source que vous pouvez installer sur vos serveurs pour envoyer des données opérationnelles à Elasticsearch ou Logstash. Elastic vous fournit des agents Beats qui permettent de capturer plusieurs types de logs communs, d'indicateurs et d'autres types de données.

Si vous avez besoin de résoudre un cas d'utilisation spécifique, nous vous encourageons à créer un agent Beat communautaire. Nous avons créé une infrastructure pour simplifier le processus. La bibliothèque libbeat, écrite entièrement en Go, propose l'API que tous les agents Beats utilisent pour transférer des données vers Elasticsearch, configurer les options d'entrée, implémenter des loggings, et plus.

Logstash est un moteur de collecte de données open source doté de capacités pipeline en temps réel. Logstash peut rassembler de manière dynamique les données provenant de plusieurs sources et les normaliser vers les destinations de votre choix. Nettoyez et démocratisez toutes vos données pour plusieurs cas d'utilisation d'analytique et de visualisation en aval.

Vous pouvez ajouter vos propres plug-ins d'entrée, codec, de filtre ou de sortie à Logstash. Vous pouvez développer et déployer ces plug-ins indépendamment du cœur de Logstash. Vous pouvez également écrire votre propre plug-in Java et l'utiliser dans Logstash.

Elasticsearch pour Apache Hadoop (Elasticsearch-Hadoop ou ES-Hadoop) est une petite bibliothèque gratuite, ouverte, indépendante et auto-contenue qui permet aux tâches Hadoop d'interagir avec Elasticsearch. Utilisez-la pour développer des applications de recherche intégrées et dynamiques pour traiter vos données Hadoop ou lancer des analyses complexes à faible latence, s'appuyant sur des agrégations, des requêtes full-text ou des requêtes géospatiales.

Elasticsearch étant une application gratuite et ouverte compatible avec tous les langages, vous pouvez facilement étendre ses fonctionnalités avec des plug-ins et des intégrations. Grâce aux plug-ins, vous avez une façon personnalisée d'améliorer les fonctionnalités principales d'Elasticsearch. Les intégrations sont des outils externes ou des modules qui facilitent le travail avec Elasticsearch.

Fleet permet de profiter d'une interface utilisateur sur le web dans Kibana pour l'ajout et la gestion des intégrations de services et plateformes populaires, ainsi que de la gestion d'une flotte d'agents Elastic. Nos intégrations permettent d'ajouter facilement des sources de données, et sont de plus livrées avec des ressources prêtes à l'emploi, comme des tableaux de bord, des visualisations et des pipelines conçus pour extraire des champs structurés à partir des logs.

Contrôlez plusieurs instances Logstash à partir de l'interface utilisateur de gestion de pipeline dans Kibana. Du côté de Logstash, activez simplement la gestion de la configuration et paramétrez Logstash pour qu'il utilise les configurations de pipeline gérées de manière centrale.

Elasticsearch est compatible avec différents types de données pour les champs d'un document, et chacun de ces types de données présente plusieurs sous-types. Cela vous permet de stocker, d'analyser et d'utiliser vos données avec une efficacité et une efficience maximales, peu importe leur type. Voici quelques exemples de types de données pour lesquels Elasticsearch est optimisé :

Elasticsearch utilise une structure appelée index inversé et conçue pour faire des recherches full-text très rapides. Un index inversé se compose d'une liste des mots uniques qui apparaissent dans un document. Pour chaque mot, cet index comprend une liste de tous les documents dans lesquels il apparaît. Pour créer un index inversé, il faut tout d'abord diviser le champ de contenu de chaque document en mots séparés (qu'on appelle termes ou tokens), puis créer une liste triée de tous les termes uniques, et enfin lister dans quels documents chaque terme apparaît.

Avec Elasticsearch, les données ne doivent pas obligatoirement être structurées pour être ingérées ou analysées (bien que la structuration améliore la vitesse). Cette conception facilite le lancement et fait aussi d'Elasticsearch un espace de stockage de documents efficace. Même si Elasticsearch n'est pas une base de données NoSQL, il propose des fonctionnalités similaires.

Un index inversé permet aux recherches de rapidement trouver des termes de recherche. Cependant, le tri et les agrégations requièrent un autre modèle d'accès aux données. Au lieu de rechercher le terme et de trouver des documents, elles doivent pouvoir rechercher le document et trouver les termes qu'il contient dans un champ. Les valeurs des documents sont la structure de données sur disque dans Elasticsearch. Elles sont créées au moment de l'indexation du document, ce qui signifie que ce modèle d'accès aux données est possible, et permet de faire des recherches en colonnes. Grâce à cela, Elasticsearch excelle dans l'analyse des indicateurs et des séries temporelles.

Elasticsearch utilise l'arborescence BKD dans Lucene pour stocker les données géospatiales. Cela permet d'analyser de manière efficace les points géographiques (latitude et longitude) et les formes géométriques (rectangles et polygones).

Bien que la Suite Elastic ne mette pas en place le chiffrement au repos de base, nous vous recommandons de configurer un chiffrement au niveau du disque dur sur l'ensemble des machines hôtes. De plus, les cibles de snapshot doivent aussi assurer le chiffrement des données au repos.

La sécurité au niveau des champs restreint les champs auxquels les utilisateurs peuvent accéder en lecture. En particulier, elle restreint les champs auxquels on peut accéder depuis des API de lecture qui se basent sur les documents.

Un cluster est un ensemble constitué d'un ou de plusieurs nœuds (serveurs). Il stocke toutes vos données et vous permet de centraliser l'indexation et la recherche des données sur l'ensemble des nœuds. Son architecture facilite le scaling horizontal. Elasticsearch intègre une API REST complète et performante, ainsi que des interfaces utilisateur, qui vous permettent d'interagir avec vos clusters.

Un instantané est une sauvegarde d'un cluster Elasticsearch en cours d'exécution. Vous pouvez créer un snapshot soit d'index individuels, soit de tout le cluster, et stocker ce snapshot dans un référentiel dans un système de fichier partagé. Des plug-ins qui prennent également en charge les référentiels distants sont disponibles.

Un référentiel de source vous permet de créer des instantanés minimaux de la source, qui occupent jusqu'à 50 % d'espace disque. Les snapshots de source contiennent les champs stockés et les métadonnées d'index. Ils ne comprennent pas les structures de valeurs des index ou des documents et on ne peut pas y faire des recherches lorsqu'on les restaure.

Conserver les données historiques pour les analyser est extrêmement utile, mais il s'agit de quelque chose qu'on évite souvent en raison du coût financier associé à l'archivage de quantités astronomiques de données. Par conséquent, les périodes de conservation sont influencées par les réalités financières plutôt que par l'utilité d'avoir à disposition une quantité importante de données historiques. La fonctionnalité de cumul vous donne le moyen de résumer et stocker les données historiques pour pouvoir les analyser, mais pour seulement une fraction du coût de stockage des données brutes.

Elasticsearch utilise une structure appelée index inversé et conçue pour faire des recherches full-text très rapides. Un index inversé se compose d'une liste des mots uniques qui apparaissent dans un document. Pour chaque mot, cet index comprend une liste de tous les documents dans lesquels il apparaît. Pour créer un index inversé, il faut tout d'abord diviser le champ de contenu de chaque document en mots séparés (qu'on appelle termes ou tokens), puis créer une liste triée de tous les termes uniques, et enfin lister dans quels documents chaque terme apparaît.

Les champs d'exécution sont des champs évalués au moment de la requête (schéma de lecture). Ils peuvent être ajoutés ou modifiés à tout moment, y compris après l'indexation des documents, et peuvent être définis dans une requête. Les champs d'exécution sont affectés par les requêtes dans la même interface que celle des champs indexés. Un champ peut donc être un champ d'exécution dans certains indices d'un flux de données, et un champ indexé dans d'autres indices de ce flux de données, sans que les requêtes ne puissent faire la différence. Bien que les performances des requêtes soient déjà optimales pour les champs indexés, les champs d'exécution ne sont pas en reste en permettant la modification flexible de la structure de données une fois les documents indexés.

Les champs d'exécution de recherche vous offrent la possibilité d'ajouter des informations depuis un index de recherche dans les résultats et depuis un index principal en définissant une clé sur les deux index qui lient les documents. Comme les champs d'exécution, cette fonctionnalité est utilisée au moment de la recherche pour assurer un enrichissement flexible des données.

La fonctionnalité de recherche inter-clusters (CCS) permet à n'importe quel nœud de se comporter comme un client fédéré sur plusieurs clusters. Un nœud de recherche inter-cluster ne contacte pas le cluster distant. Il se connecte plutôt à un cluster distant de manière légère pour exécuter des recherches fédérées.

Une fonction de similarité (score de pertinence/modèle de classement) définit comment les documents correspondants sont notés. Par défaut, Elasticsearch utilise la similarité BM25, une similarité TF/IDF avancée qui est dotée d'une normalisation tf intégrée qui convient parfaitement pour les champs courts (comme les noms). Plusieurs autres options de similarité sont disponibles.

Grâce à la nouvelle prise en charge de la recherche approximative du plus proche voisin ou ANN de Lucene 9 fondée sur l'algorithme HNSW, le nouveau point de terminaison de l'API _knn_search permet de mener des recherches plus performantes et scalables en fonction de la similarité vectorielle. Pour ce faire, un équilibre est trouvé entre rappel et performance : grâce à des compromis mineurs en matière de rappel, les très grands ensembles de données deviennent bien plus performants (par rapport à la méthode existante de similarité vectorielle par force brute).

La recherche full-text requiert un langage de requête robuste. Elasticsearch fournit un Query DSL complet (langage spécifique à un domaine) qui se base sur le langage JSON pour définir les requêtes. Créez des requêtes simples pour faire correspondre des termes et des phrases, ou développez des requêtes composées qui peuvent combiner plusieurs requêtes. De plus, vous pouvez appliquer des filtres au moment de la requête pour éliminer des documents avant de leur attribuer des notes de pertinence.

L'API de recherche asynchrone vous permet d'exécuter en arrière-plan les requêtes qui prennent du temps. Vous pouvez en surveiller la progression et récupérer des résultats partiels à mesure qu'ils sont disponibles.

Les surligneurs vous permettent de mettre en évidence des extraits d'un ou plusieurs champs dans vos résultats de recherche pour pouvoir montrer aux utilisateurs où se trouvent les correspondances de recherche. Lorsque vous demandez l'affichage des surlignages, la réponse contient un élément de surlignage supplémentaire pour chaque résultat de recherche comprenant les champs surlignés et les fragments surlignés.

L'outil de suggestion de saisie semi-automatique vous fournit une fonctionnalité de complétion automatique/de recherche en cours de frappe. Il s'agit d'une fonctionnalité de navigation qui guide les utilisateurs vers des résultats pertinents en cours de frappe, ce qui améliore la précision de recherche.

L'outil de suggestion de termes est à la racine du correcteur orthographique. Il suggère des termes en fonction de la distance d'édition. Le texte de suggestion fourni est analysé avant de suggérer des termes. Les termes suggérés sont fournis par tokens textuels de suggestion analysés.

L'outil de suggestion de phrase ajoute une fonctionnalité did-you-mean à votre recherche en bâtissant une logique supplémentaire par-dessus l'outil de suggestion de terme pour sélectionner des phrases corrigées entières au lieu de tokens individuels pondérés sur la base de modèles de langage ngram. En pratique, cet outil de suggestion est capable de prendre de meilleures décisions quant aux tokens à sélectionner en fonction des co-occurrences et des fréquences.

Les filtres retournent le modèle de recherche standard, où on utilise une recherche pour trouver un document stocké dans un index, et peuvent être utilisés pour faire correspondre des documents à des recherches stockées dans un index. La recherche percolate en elle-même contient le document qui est utilisé comme recherche pour être associée aux recherches stockées.

L'API de profilage fournit des informations de temporisation détaillées à propos de l'exécution de composants individuels dans une requête de recherche. Il permet de mieux comprendre comment les requêtes de recherche s'exécutent à bas niveau pour que vous puissiez comprendre pourquoi certaines requêtes sont lentes et prendre des mesures pour les améliorer.

La sécurité au niveau des champs et la sécurité au niveau des documents restreint les résultats de recherche à ce à quoi les utilisateurs peuvent accéder en lecture. En particulier, elle restreint les champs et les documents auxquels on peut accéder depuis des API de lecture qui se basent sur les documents.

La fonctionnalité d'annulation de requête intégrée à Kibana s'avère très pratique lorsqu'il s'agit de réduire la charge de travail inutile pour limiter l'impact global imposé au cluster. L'annulation automatique de requêtes Elasticsearch a lieu lorsque les utilisateurs modifient ou mettent à jour leur recherche, ou qu'ils actualisent la page du navigateur.

L'architecture d'agrégations vous aide à obtenir des données agrégées à l'aide d'une requête de recherche. Il est adossé à de simples composantes de base appelées agrégations, que vous pouvez exploiter pour créer des résumés complexes de vos données. On peut voir une agrégation comme une unité de travail qui construit des informations analytiques à partir d'un ensemble de documents.

L'API d'exploration Graph vous permet d'extraire et de résumer des informations à propos des documents et des termes qui se trouvent dans votre index Elasticsearch. La meilleure façon de comprendre le comportement de cette API est d'utiliser Graph dans Kibana pour explorer les relations.

Créez des alertes de seuil pour vérifier de manière périodique quand les données de vos index Elasticsearch passent au-dessus ou en dessous d'un certain seuil pendant une période donnée. Avec Alerting, toute la puissance du langage de requête d'Elasticsearch est entre vos mains : vous pouvez ainsi identifier les modifications apportées aux données qui vous intéressent.

L'inférence vous permet d'utiliser des processus de Machine Learning supervisé, comme la régression ou la classification, pour réaliser notamment des analyses par lot. Vous pouvez aussi utiliser ces processus de manière continue. Avec l'inférence, il est possible d'appliquer des modèles entraînés de Machine Learning sur les données entrantes.

La détection de la langue est un modèle entraîné dont vous pouvez vous servir pour déterminer la langue d'un texte. Vous pouvez référencer le modèle de détection de la langue dans un processeur d'inférence.

Une fois que la fonctionnalité de Machine Learning d'Elastic a créé des points de comparaison de comportements normaux pour vos données, vous pouvez utiliser ces informations pour extrapoler les comportements futurs. Créez ensuite une prévision afin d'estimer une valeur temporelle à une date future spécifique ou pour estimer la probabilité d'occurrence d'une valeur temporelle dans le futur

Les fonctionnalités de Machine Learning d'Elastic automatisent l'analyse des données temporelles en créant des points de comparaison précis de comportements normaux dans les données et en identifiant les modèles anormaux dans celles-ci. Les anomalies sont détectées, notées et liées à des influenceurs importants du point de vue statistique dans les données à l'aide d'algorithmes de machine learning propriétaires.

Certaines modifications sont difficiles à définir au moyen de règles et de seuils. Dans ce cas, vous pouvez associer Alerting à des fonctionnalités de Machine Learning non supervisé qui vous permettent de détecter les comportements inhabituels. Ensuite, vous pouvez aussi recevoir des notifications en fonction des scores d'anomalies et lorsque des problèmes surviennent.

Utilisez les fonctionnalités de Machine Learning d'Elastic pour créer un profil de ce qu'un utilisateur "type", une machine ou une autre entité réalise pendant une période donnée, puis pour identifier les anomalies où ils se comportent de manière anormale par rapport à la population.

Les événements log d'application ne sont souvent pas structurés et contiennent des données variables. Les fonctionnalités de Machine Learning d'Elastic observent la partie statique du message, regroupent les messages similaires et les classifient en catégories de messages.

Une fois une anomalie détectée, les fonctionnalités Elastic Machine Learning facilitent l'identification des propriétés qui ont contribué à son apparition. Par exemple, en cas de baisse inhabituelle des transactions, vous pouvez rapidement identifier le serveur défaillant ou le commutateur mal configuré qui sont à l'origine du problème.

File Data Visualizer vous aide à mieux comprendre vos données Elasticsearch et à identifier les champs potentiels d'analyse Machine Learning en analysant les indicateurs et les champs dans un fichier de log ou dans un index existant.

Créez des tâches de Machine Learning complexes avec plusieurs détecteurs. Utilisez l'explorateur d'anomalies pour afficher les résultats après qu'une tâche à plusieurs indicateurs ait analysé le flux d'entrée de données, modélisé son comportement et effectué une analyse en fonction des deux détecteurs que vous avez définis dans votre tâche.

La détection non supervisée des aberrations s'appuie sur quatre méthodes de machine learning basées sur la distance et la densité, qui lui permettent de découvrir des points de données inhabituels par rapport à la majorité. Pour créer des tâches d'analyse des trames de données pour la détection d'aberrations, utilisez l'API "Create data frame analytics jobs".

Restaurez rapidement un modèle sur le snapshot souhaité en cas de panne système imprévue ou tout autre événement en échec lors de la détection des anomalies.

Le serveur APM reçoit des données provenant d'agents APM et les transforme en documents Elasticsearch. Pour cela, il expose un point de terminaison de serveur HTTP vers lequel les agents diffusent les données APM qu'ils ont collectées. Une fois que le serveur APM a validé et traité les événements des agents APM, il transforme les données en documents Elasticsearch et les stocke dans des index Elasticsearch correspondants.

Les agents APM sont des bibliothèques open source qui sont écrites dans le même langage que votre service. Vous pouvez les installer dans votre service de la même manière que vous installeriez n'importe quelle autre bibliothèque. Ils instrumentalisent votre code et collectent des données et des erreurs de performance au moment de l'exécution. Ces données sont mises en mémoire tampon pendant une courte période puis envoyées sur le serveur APM.

Trouver et fixer les problèmes de votre code revient à la recherche. Avec notre application APM dédiée dans Kibana, vous identifiez d'un coup d'œil les goulets d'étranglement et pouvez agir directement sur les changements problématiques au niveau du code. Résultat : le code gagne en qualité et en efficacité, vous accélérez le cycle développement-test-déploiement, et les applications sont plus performantes – ce qui débouche au final sur une meilleure expérience client.

Vous vous demandez comment vos requêtes circulent dans votre infrastructure ? Assemblez les transactions entre elles grâce au traçage distribué et visualisez les interactions entre vos services. Détectez le point où se produisent les problèmes de latence et localisez précisément les composants à optimiser.

Restez toujours informé des performances de votre code. Vous recevez une notification par e-mail dès qu'un problème se produit, ou une notification Slack lorsque tout se passe vraiment très bien.

Les cartes de service représentent de façon visuelle les relations entre vos services. Elles fournissent des indicateurs importants concernant les transactions, comme la durée moyenne d'une transaction, les taux de requêtes et d'erreurs, ou encore l'utilisation du processeur et de la mémoire.

Créez une tâche de Machine Learning directement depuis l'application APM. Concentrez-vous rapidement sur les comportements anormaux grâce aux fonctionnalités de Machine Learning qui modélisent automatiquement vos données.

Un tableau de bord Kibana affiche une collection de visualisations et de recherches. Vous pouvez organiser, redimensionner et modifier le contenu du tableau de bord puis l'enregistrer pour pouvoir le partager. Vous pouvez mettre en place des recherches personnalisées entre plusieurs tableaux de bord, et même dans des applications web, afin de favoriser la prise de décisions et de mesures.

Avec Canvas, découvrez une toute nouvelle manière de présenter vos données sous leur meilleur jour. Canvas combine vos données avec des couleurs, des formes, du texte et votre imagination pour proposer des présentations dynamiques, sur plusieurs pages et détaillées au pixel près, à toutes les tailles.

Les données de l'application User Experience reflètent les expériences réelles vécues par les utilisateurs. Ainsi, vous pouvez quantifier et analyser les performances de votre application web telles qu'elles ont été perçues.

Facile à utiliser et intuitive, Kibana Lens est une interface utilisateur qui simplifie le processus de visualisation des données : un simple glisser-déposer et le tour est joué. Que vous ayez des milliards de logs à analyser ou des tendances à identifier à partir du trafic de votre site web, Lens vous permet de convertir vos données en informations exploitables en quelques clics. Et aucune expérience de Kibana n'est nécessaire.

Le TSVB utilise toute la puissance de l'architecture d'agrégations d'Elasticsearch et combine un nombre infini d'agrégations et d'agrégations de pipeline pour afficher les données complexes de façon significative.

Les fonctionnalités d'analyse de graphes vous permettent de découvrir comment les objets contenus dans un index Elasticsearch sont liés. Vous pouvez explorer les connexions entre les termes indexés et voir quelles connexions sont les plus importantes. Cela peut s'avérer utile dans plusieurs applications, de la détection de fraude aux moteurs de recommandation.

"À quel endroit ?" Voilà une question stratégique pour bon nombre d'utilisateurs de la Suite Elastic. Qu'il s'agisse de protéger votre réseau contre des attaques, de comprendre pourquoi les temps de réponse d'une application sont plus longs dans certaines zones géographiques ou tout simplement de trouver un taxi, les données géographiques ainsi que la recherche jouent un rôle important.

Vos applications et votre environnement évoluent. La Suite Elastic aussi. Monitorez, recherchez et visualisez tout ce qui se passe au niveau de vos applications, de Docker et de Kubernetes, le tout depuis un seul et même emplacement.

Ajoutez des fonctionnalités supplémentaires à Kibana grâce aux modules de plug-in créés par la communauté. Les plug-ins open source sont disponibles pour plusieurs applications, extensions, visualisations et bien plus encore. Les plug-ins comprennent :

Grâce à notre tutoriel facile à suivre, apprenez à charger un ensemble de données dans Elasticsearch, à définir un modèle d'indexation, à découvrir et à explorer les données, à créer des visualisations et des tableaux de bord, et plus.

L'éditeur des champs d'exécution Kibana se sert de la fonctionnalité Elasticsearch pour les champs d'exécution afin de donner aux analystes la possibilité d'ajouter leurs propres champs personnalisés à la volée. Depuis les champs d'indexation, Discover et Kibana Lens, cet éditeur permet de créer, d'éditer et de supprimer des champs d'exécution.

Depuis Kibana, vous pouvez facilement partager un lien direct vers un tableau de bord Kibana ou intégrer le tableau de bord dans une page Web avec un iframe (soit en tant que tableau de bord actualisé, soit en tant que snapshot statique de l'instant T).

Utilisez le rôle intégré "kibana_dashboard_only_user" pour restreindre ce que les utilisateurs voient lorsqu'ils se connectent à Kibana. Le rôle "kibana_dashboard_only_user" est préconfiguré pour être en lecture seule dans Kibana. Lorsque les utilisateurs ouvrent un tableau de bord, ils n'ont accès qu'à une expérience visuelle restreinte. L'ensemble des commandes de modification et de création sont cachées.

Grâce à Spaces dans Kibana, vous pouvez organiser vos tableaux de bord et autres objets enregistrés en catégories pertinentes. Une fois dans un espace spécifique, vous ne verrez que les tableaux de bord et les autres objets enregistrés qui y appartiennent. En activant la sécurité, vous pouvez contrôler quels utilisateurs ont accès aux espaces individuels, ce qui vous donne une couche de protection supplémentaire.

Les bannières personnalisées permettent de différencier les espaces Kibana Spaces en fonction des rôles, des équipes, des fonctions, etc. Préparez des annonces et des messages adaptés à des espaces Kibana Spaces individuels, et aidez les utilisateurs à identifier l'espace auquel ils appartiennent.

Exportez les recherches enregistrées dans Discover vers des fichiers CSV pour les utiliser dans des éditeurs de texte externes.

Créez facilement des balises et ajoutez-les aux tableaux de bord et aux visualisations pour gérer le contenu avec efficacité.

Générez rapidement des rapports à partir de n'importe quelle visualisation ou tableau de bord Kibana et sauvegardez-les au format PDF ou PNG. Rapports à la demande, rapports planifiés, rapports générés en fonction de certains événements… La fonctionnalité Reporting vous permet de faire tout cela et plus encore, comme partager automatiquement vos rapports avec vos collaborateurs.

Avec l'application Maps de Kibana, ajoutez des calques distincts pour visualiser différents index dans une seule vue. Tous les calques étant affichés sur la même carte, vous pouvez aussi les interroger et les filtrer en temps réel. Parmi les options de calques, on trouve les calques choroplèthes, les calques thermiques, les calques de mosaïque, les calques de vecteur et même des calques spécifiques aux cas d'utilisation, comme l'observabilité pour les données APM.

Les tuiles vectorielles permettent de diviser votre carte en tuiles. Cette approche vous permet de bénéficier de performances optimales et d'un zoom fluide, par rapport à d'autres méthodes. Tous les nouveaux calques de polygone ont le paramètre "Use vector tiles" (Utiliser les tuiles vectorielles) activé par défaut. Si vous préférez opter pour l'approche utilisant 10 000 enregistrements, vous pouvez modifier les options d'échelle dans les paramètres d'un calque.

Créez des cartes régionales à l'aide des données géographiques personnalisées. Il s'agit de cartes thématiques sur lesquelles les formes vectorielles associées à un périmètre s'affichent en dégradé.

L'Elastic Maps Service soutient toutes les visualisations géospatiales dans Kibana (y compris l'application Maps) en fournissant des tuiles de fond de carte, des fichiers de forme, ainsi que des fonctionnalités clés qui sont essentielles pour visualiser des données géographiques. Avec la distribution par défaut de Kibana, vous pouvez zoomer jusqu'à 18 fois sur une carte.

Le serveur Elastic Maps se sert des fonds de carte et des frontières d'Elastic Maps Service sur une infrastructure locale.

Bien qu'elle soit simple et facile à utiliser, la fonctionnalité d'importation GeoJSON n'en est pas moins performante. Grâce à une ingestion directe vers Elasticsearch, cette fonctionnalité vous permet de faire glisser des fichiers GeoJSON enrichis de points, de formes et de contenu, pour les déposer sur une carte et les visualiser instantanément. Servez-vous des limites GeoJSON définies pour configurer des alertes par email ou application Web lorsque vous surveillez des mouvements d'objets à l'aide des données.

Une notification se déclenche dès qu'une entité franchit une limite spécifique d'une manière ou d'une autre. L'emplacement de l'entité est monitoré tout au long de sa présence dans les limites définies.

Chargez des fichiers de forme dans Elastic avec cet agent de chargement simple mais efficace intégré directement dans l'application Maps. Importez facilement des données ouvertes locales et des limites afin d'effectuer des analyses et des comparaisons.

Oubliez SSH. Avec Filebeat, dites oui à la simplicité : misez sur un agent de transfert léger qui vous permet de centraliser vos logs et vos fichiers. Filebeat intègre des modules internes (auditd, Apache, NGINX, System et MySQL, entre autres) qui simplifient la collecte, l'analyse et la visualisation des formats de logs les plus courants – le tout, via une seule commande.

Des exemples de tableaux de bord Filebeat vous facilitent la tâche pour explorer les données de log dans Kibana. Commencez rapidement à utiliser ces tableaux de bord préconfigurés puis personnalisez-les selon vos besoins.

L'analyse des taux de logs optimisée par le Machine Learning met automatiquement en évidence les périodes de temps où les taux de logs sont hors normes. Un avantage pour identifier et inspecter rapidement les anomalies de logs.

L'application Logs fournit un suivi des logs en temps réel via un affichage compact et personnalisable. Les données de log sont ensuite corrélées aux indicateurs dans l'application Metrics, vous facilitant ainsi le diagnostic des problèmes.

Metricbeat est un agent de transfert léger que vous pouvez installer sur vos serveurs pour collecter des indicateurs qui proviennent du système d'exploitation et des services qui s'exécutent sur le serveur de manière périodique. Statistiques relatives au processeur, à la mémoire, à Redis ou NGINX, Metricbeat se charge du transfert léger des statistiques de vos systèmes et services.

Les exemples de tableaux de bord de Metricbeat vous facilitent la tâche lorsque vous commencez à monitorer vos serveurs dans Kibana. Utilisez ces tableaux de bord préconfigurés pour vous lancer rapidement, puis personnalisez-les en fonction de vos besoins.

Créez des alertes de seuil pour vos indicateurs avec des commentaires en temps réel, directement dans l'application Metrics dans Kibana. Choisissez le mode par lequel vous souhaitez être averti : documents, logs, Slack, webhooks simples, ou autre.

Décelez les problèmes d'infrastructure courants grâce à la détection des anomalies en un clic proposée par l'interface utilisateur Metrics.

Une fois vos indicateurs diffusés en continu vers Elasticsearch, l'application Metrics de Kibana vous permet de les monitorer et d'identifier les problèmes en temps réel.

Heartbeat est un daemon léger que vous pouvez installer sur un serveur distant pour contrôler l'état de vos services de manière périodique et déterminer s'ils sont disponibles. Heartbeat ingère les données du serveur. Celles-ci sont ensuite affichées sur le tableau de bord et l'application Uptime dans Kibana.

Les tableaux de bord d'exemple Heartbeat vous permettent de visualiser facilement l'état de vos services dans Kibana. Utilisez ces tableaux de bord préconfigurés pour vous lancer rapidement, puis personnalisez-les en fonction de vos besoins.

Créez facilement des alertes de seuil à partir de vos données de disponibilité directement dans l'application Uptime. Choisissez le mode par lequel vous souhaitez être averti : documents, logs, Slack, webhooks simples, ou autre.

Vérifiez si vos certificats SSL ou TLS expirent bientôt ou recevez une notification quand c'est le cas. Vos services sont ainsi toujours disponibles, et tout cela se fait directement dans l'application Uptime.

Simulez l'expérience utilisateur sur des parcours à plusieurs étapes, par exemple au niveau du flux de paiement d'une boutique en ligne. Capturez des informations détaillées sur le statut à chaque étape afin d'identifier les zones problématiques et, de là, créez des expériences numériques exceptionnelles.

L'application Uptime de Kibana a pour but de vous aider à identifier rapidement et à diagnostiquer les pannes ainsi que d'autres problèmes de connectivité au sein de votre réseau ou de votre environnement. Monitorez facilement les hôtes, les services, les sites Web, les API et plus depuis cette interface utile.

Avec Elastic Common Schema (ECS), analysez de manière homogène les données provenant de différentes sources. Vous pouvez désormais appliquer des règles de détection, des tâches de Machine Learning, des tableaux de bord et d'autres contenus de sécurité à un plus grand nombre de cas d'utilisation, améliorer la précision de vos recherches et utiliser des noms de champs bien plus simples à mémoriser.

Elastic Security permet d'analyser de manière interactive les données aux points de terminaison d'Elastic Agent et d'Elastic Beats, ainsi que des technologies commerciales telles que CrowdStrike et Microsoft Defender for Endpoint. Explorez les activités du shell avec Session View, et les processus avec Analyzer.

Elastic Security est capable de monitorer la sécurité réseau grâce à des cartes interactives, des graphes, des tableaux sur les événements, et bien plus encore. La solution est compatible avec de nombreuses solutions de sécurité réseau, notamment les technologies open source comme Zeek et Suricata, les appareils provenant de fournisseurs tels que Cisco ASA, Palo Alto Networks et Check Point, mais aussi certains services cloud, notamment AWS, Azure, GCP et Google Cloud.

En matière d'analyse des entités, Elastic Security est la solution idéale. En effet, elle offre de la visibilité sur l'activité des utilisateurs, ce qui aide les professionnels à réagir aux menaces internes, aux piratages des comptes, à l'abus de privilèges et autres angles d'attaques. En permettant de collecter les données sur l'ensemble de l'environnement, cette solution renforce le monitoring de la sécurité. Les données utilisateur collectées sont présentées dans des visualisations et des tableaux. Le contexte utilisateur, quant à lui, est fourni dans le cadre du processus de détection ou d'examen. Vous bénéficiez en plus d'un accès rapide à des détails supplémentaires.

Grâce à l'afficheur d'événements Timeline Event Viewer, les analystes peuvent visualiser, filtrer, corréler et annoter les événements, collecter des données pour connaître la cause première ou la portée des attaques, harmoniser les investigations et regrouper les informations à des fins de référence immédiate et sur le long terme.

Les workflows de gestion intégrée des incidents permettent une meilleure maîtrise en matière de détection des menaces et de réponses apportées à ces dernières. Avec Elastic Security, les analystes peuvent désormais ouvrir des incidents, les mettre à jour, y ajouter des tags, les commenter, les fermer et les intégrer à des systèmes externes. Une API ouverte et la prise en charge prédéfinie d'IBM Resilient, de Jira, de Swimlane et de ServiceNow permettent en outre un alignement sur les workflows existants.

Le moteur de détection assure une détection des menaces basée sur les techniques d'attaque et vous alerte lorsqu'il détecte des anomalies affichant des valeurs élevées. Il est rapide à adopter grâce aux règles prédéfinies développées et testées par les ingénieurs en recherche d'Elastic Security. De plus, vous pouvez aussi créer des règles personnalisées pour n'importe quelles données formatées pour Elastic Common Schema (ECS).

Le Machine Learning intégré automatise la détection des anomalies, tout en renforçant les workflows de recherche et de détection. Et avec le portefeuille de tâches de Machine Learning prédéfinies que nous vous proposons, l'adoption n'a jamais été plus rapide. Les workflows d'alerting et d'investigation exploitent les résultats du Machine Learning.

Elastic Security assure la prévention contre les ransomwares grâce à l'analyse des comportements effectuée sur Elastic Agent. Les attaques par ransomware ciblant des systèmes Windows sont bloquées grâce à l'analyse des données de processus système individuels. Cette protection est efficace sur un large éventail de familles de ransomwares courants.

Dans Elastic Agent, la protection contre les comportements malveillants stoppe les menaces sophistiquées au niveau des points de terminaison. Elle assure une nouvelle couche de protection pour les hôtes Linux, Windows et macOS. Par ailleurs, elle vient renforcer la protection existante contre les malwares et les ransomwares avec une prévention dynamique du comportement post-exécution. Résultat : les menaces avancées sont stoppées net.

La prévention sans signature contre les malwares stoppe immédiatement les programmes exécutables malveillants sur les hôtes Linux, Windows et macOS. Cette fonctionnalité intègre Elastic Agent, qui recueille également des données de sécurité et permet l'inspection et la réaction basées sur l'hôte. L'administration basée sur Kibana rationalise le déploiement et l'administration.

La protection de la mémoire d'Elastic Agent bloque un grand nombre de techniques exploitées pour l'injection de processus par shellcode. Elle stoppe en effet les sous-techniques utilisées comme le piratage de l'exécution de threads, les fonctions Asynchronous Procedure Call, le Process Hollowing, ou encore le Process Doppelgänging.

Grâce à Elastic Security, les utilisateurs peuvent facilement déployer osquery sur chaque point de terminaison tout en rationalisant la détection et l'inspection des hôtes sur Linux, Windows et macOS. La solution fournit un accès direct à des données d'hôte enrichies, extraites avec des requêtes SQL préconçues et personnalisées aux fins d'analyse dans Elastic Security.

Grâce à Elastic Agent, recueillez les activités de réseau à partir d'un nombre illimité d'hôtes. Analysez-les afin d'identifier au sein du périmètre du réseau et au-delà le trafic indétectable pour les pare-feux. Ainsi, les équipes de sécurité sont en mesure de lutter contre les comportements malveillants, comme les attaques par point d'eau et DNS ou les exfiltrations de données. L'intégration de l'analyseur de paquets réseau comprend une licence commerciale gratuite de Npcap, la bibliothèque de sniffing de paquets déployée à grande échelle pour les systèmes Windows, qui confère une visibilité sur chaque hôte du réseau, indépendamment de son système d'exploitation.

Elastic sécurise les charges de travail du cloud hybrides et les applications cloud-native avec un agent de transfert léger alimenté par la technologie eBPF. Identifiez automatiquement les menaces pesant sur l'exécution de vos systèmes grâce à des modèles de Machine Learning et à des règles de détection prédéfinies et personnalisées. Menez vos investigations dans un affichage de type terminal qui repère les contenus riches.

Bénéficiez d'une visibilité sur votre niveau de sécurité au sein de vos environnements multi-cloud. Examinez les conclusions, comparez-les aux contrôles du CIS et appliquez les corrections conseillées afin d'impulser une amélioration rapide.