ECS是在Elastic用戶社區的支持下開發的開源規範,為用戶在Elasticsearch中構造事件數據提供了一致且可自定義的方式。 ECS有助於對來自各種來源的數據進行統一分析,從而可以更廣泛地應用儀表板和機器學習作業等內容,可以更有效地進行搜索,並且讓分析師可以更輕鬆地調用字段名稱。
實作ECS可以簡化對不同數據源的分析,並支持各種用例,包括日誌記錄,安全分析和應用程序性能監控。 完全採用ECS後,ECS可以幫助用戶更輕鬆地可視化,搜索,深入和透視數據。 ECS還簡化了自動化分析方法的實施,包括基於機器學習的異常檢測和警報。
ECS還簡化了分析內容的開發。 用戶可以繼續使用ECS感知的搜索和儀錶盤,而無需每次組織添加具有新格式的數據源時都創建新的搜索和儀錶盤。 ECS還使組織更容易直接從使用ECS的其他方(無論是Elastic,合作夥伴還是開放源項目)中採用分析內容。
簡單的說ECS就是Beats的進階版,下面就來看看如何把數據從Beats 移過來。
iThome鐵人賽
看影片追技術