リリース

Elastic Stack 7.3 リリース

Elastic Stack 7.3がリリースされました。今回もいくつかの機能がリリースされています。

本記事では、いくつかのハイライトを紹介します。それぞれの詳細については、それぞれのプロダクトに関するリリースブログをご覧ください。待ちきれない方は、オフィシャル&マネージドのElasticsearch Serviceで、すでに7.3が利用可能になっていますので、お試しください。もちろん、Elastic Stackをダウンロードしてご利用もいただけます。

では、さっそく新しい機能を紹介しましょう。

マテリアライズドビュー? エンティティ中心のインデックス? データフレームの紹介

データフレームの紹介です。データフレームはElasticsearchのデータをオンザフライでピボットして、エンティティ中心のインデックスを作成するための新機能です。 新しい機械学習による分析(外れ値検出(7.3でExperimentalな機能として追加)、クラスタリング、クラス分類など)を含む、分析の分野に新しい風を運んでくる素晴らしい機能です。

もっとも強力なコンセプトと同様に、この機能はサンプルを使うと理解しやすいです。ウェブサーバーのログの中で疑わしいIPアドレスを探したい状況だとします。このような時、それぞれのIPアドレスごとに、どのくらいのリクエストがあったのか、レスポンスコードは何か、転送されたデータの合計はどのくらいかという調べ方をするでしょう。データフレームを使用すると、関心のあるそれぞれのメトリック(リクエスト量、レスポンスステータスごとの件数、転送バイト数など)をトラックして、個別のIPアドレスごとのドキュメントとして、新しいエンティティ中心のインデックスに登録します。重要なのは、データフレームは連続的に処理をすることをサポートしていることです。つまり、新しいドキュメントがインデックスに追加されると、自動的にエンティティ中心のインデックスにも変換されたデータが追加されます。

dataframes.gif

データフレームを使うと、新しい種類の分析のためにデータを変換するパワフルなエンジンを構築できます。 これらのライブな ピボットはデータフレームの機能による変換の第一歩に過ぎません。今後、データフレームの概念をより多くのユースケースに拡張するさらに多くの変換を導入していくので楽しみにしていてください。

データフレームの詳細についてはこちらをご覧ください。

Elastic SIEMに異常検知を追加(ルールだけでは足りないので)

バージョン7.2で、SIEMソリューションを導入しました。それ以降忙しくなっています。

ルールだけで、悪者を捕まえることは滅多にありません。ですので、7.3では機械学習の機能をSIEMアプリに統合することで、Elastic SIEMでの脅威検出や脅威ハンティングのワークフローを強化しました。ユーザーは特定のサイバーアタックの挙動を検知するためにデザインされた異常検知の機械学習のジョブを簡単に有効にして実行できます。SIEMアプリから。検出された異常は、SIEMアプリのホストビューやネットワークビューで表示されます。

02-elasticsearch-siem-machine-learning-7-3-0-blog.png

ユーザーは定義済みのジョブ以外のものを使いたい場合は機械学習アプリを利用することで、カスタマイズした異常検知のジョブを追加することができます。

この統合により、攻撃の振る舞いを検知することが機械学習を利用して簡単になりました。詳細については、Elastic SIEM リリースブログをご覧ください。

Elastic Mapsが正式リリース

場所は常に検索の重要な一部です。ネットワーク攻撃の送信元を特定したり、特定の地域で発生するアプリケーションのレスポンスタイムの遅れを診断したり、リアルタイムに配送トラックをトラッキングしたり、近くの一番美味しいブリトーを見つけようとしたりなど。 Elastic Stackで緯度経度の機能をより高速に、より強力に、より効率的に構築するために、初期の頃( 0.9.1!)から取り組んできた理由です。

Elastic Mapsを6.7でベータリリースし、Kibanaで地理空間データを探索し、理解する直感的でインタラクティブな方法を提供し、将来の基盤を築きました。7.3ではMapsはいよいよ本番環境で利用いただけることとなりました。

02-elasticsearch-elastic-maps-suricata-events-7-3-0.png

Elastic Mapsには、いくつかの新機能も追加されています。もっとも喜んでもらえるのは、GeoJSONファイルから地図に対してフィーチャー、形状、レイヤーをアップロードする機能です。カスタムアイコンのプロット、最新場所データの可視化といったそのほかの機能改善により、ユーザーエクスペリエンスがさらに向上しています。

詳細についてはMapsのブログをご覧ください。これまでのElastic Mapsの進化に誇りを持っていますし、みなさんが7.3の新機能や将来のリリースで予定されている機能でさらに素晴らしい体験をしていただけるのを期待しています。

もちろんそれ以外にも!

まだまだあります。7.3で追加された機能について詳細を知りたい場合は個別のリリースブログをご覧ください。

  • Elasticsearch : voting-only マスターノードの追加、ずっと要望のあった rere-terms アグリゲーション、新しいスナップショット / リストア 管理UI、動的な変更可能なsynonymsなど、詳細はElasticsearchのリリースブログをご覧ください
  • Kibana : Kerberosサポート、Filter aggsでオートコンプリートとKQLをサポート、Canvasのワークパッドテンプレートでより美しいものを簡単に構築など。詳細はこちら
  • Beats : 新規データソース(OracleやAmazon RDSを含む)を追加、Kubernetes kube-proxy、kube-scheduler、buke-controller-managerのメトリックに対応、GCP VPC FlowログのNetwork Flowサポート、FunctionbeatによるAmazon Kinesis Data Streams、Amazon Cloudwatchのサポートの改善など。 詳細はBeatsのリリースブログをご覧ください
  • Logstash : デフォルトでJMSサポートを追加
  • Elastic APM : .NET Agentが正式リリース。さらに、サービスのブレイクダウンチャートによるサービスの新しい可視化、Kibanaからエージェントのサンプルレートの設定が可能に。 詳細はこちら
  • Elastic Uptime : 監視概要と詳細により複数のロケーションの監視のためのルック&フィールを改善。
  • Elastic Logs : キーワードハイライトの追加と、trace.idを元にAPMに遷移する機能を追加。
  • Elastic Infrastructure : Metrics Explorer で時系列メトリックに対してaggsの可視化を簡単に実行できる機能を追加し、正式リリース。コアのKubernetesサービスとAWSモジュールにRDSメトリックセットの追加により、監視を強化。詳細については Elastic Infrastructure リリースブログを参照

お楽しみください!