ElasticSearch + Kibana是什麼？
ElasticSearch + Kibana是專門拿來收集、搜尋、分析、視覺化日誌的工具。
ElasticSearch可以想像成資料庫引擎，用來儲存、搜尋、分析大量日誌資料，像是Suricata、WAF、系統log。
Kibana則是視覺化介面，將ElasticSearch裡的資料畫成圖表、儀表板、時間軸趨勢等。
在資訊安全分析裡，我們常用它來找出哪個IP攻擊最多、看哪段時間被攻擊最頻繁、分析最常見的攻擊類型。

動手試試
用Docker，啟動ELK Stack，接著開啟瀏覽器進入http://localhost:5601
如果成功，就會看到Kibana的首頁
接著匯入測試資料，在Kibana左側選單點擊Home，找到Try our sample data，點選Add data和Sample eCommerce orders，按了View Data會打開Dashboard，就會看到時間軸、折線圖、圓餅圖、地圖等等。

心得
在操作ElasticSearch + Kibana的過程中，我體會到資安分析不只是靠工具攔截，更需要有資料視覺化的能力，以前我看log覺得很雜亂，但透過Kibana，我能快速找到可疑時間點與來源，這代表現代資安人員不只要懂防禦，也要懂分析與判斷，ELK Stack就像一個放大鏡，讓我更清楚地看到攻擊行為的全貌。