《Elastic Stack 实战手册》——三、产品能力——3.5 进阶篇——3.5.20. ECS介绍(上) https://developer.aliyun.com/article/1226522
ECS 的优势
通过实施 ECS,用户可以将 Elastic Stack 中可用的所有分析模式整合在一起,包括搜索、向下钻取和透视、数据可视化、异常监测,以及警报。完全采用之后,用户可以利用非结构化和结构化查询的强大功能进行搜索。通过 ECS ,可以更加轻松地自动将来自不同数据源的数据进行关联,无论是来自同一供应商但不同设备的数据,还是完全不同的数据源类型。
l 在进行交互式分析时候,如果使用 ECS ,由于只有一个集合,而不是每个数据源都有一个不同的集合,所以你能够更加轻松地记住常用字段的名称。如果忘记了字段名称,通过 ECS遵照一套简单的标准命名规格,你还可以更加轻松地推理出正确的字段名。
l 有效减少分析相关的工作量,无需在每次添加新数据源时重新创建新搜索和仪表板,可以直接继续利用已有搜索和仪表板。通过采用 ECS ,你的环境还可以无比轻松地直接采用来自社区分析内容。
案例1: 简化从不同数据源进行关联分析
使用标准化的 ECS 数据可以直接对不同的数据源进行集中监控,从一个集中的仪表板,可以聚合和可视化来自 Web 服务器、IDS/IPS 设备和防火墙的事件,实现各类安全日志信息和网络流量进行汇总、归类和关联分析,并且方便后续的转向深入调查。
案例2: 复用多数据源的分析内容
当我们没有使用 ECS 规范字段时:
由于不同厂商的字段标准不一致,我们常常需要对每一个厂商(数据源)产生的数据专门设置查询,dashboard ,告警等配置。
使用 ECS 对字段进行规范后:
原来需要配置三个 dashboard ,现在只需要配置一个 dashboard ,且每个查询都可以关联多个数据源,并且还可以按照特定的设备类型进行过滤。
案例3: 能够不需要修改直接使用社区的分析内容
比如在 soc prime 这个安全情报市场,每天会搜集成千上万的规则,并且会把这样的规则翻译成各种产品的查询,对于 Elasticsearch 这个规则就是基于 ECS 规范去编写的,当我们使用
ECS 规范我们数据以后,我们就可以直接拷贝这个查询到我们的 ES 集群里面进行相关安全规则的检查。
参考文献
l Elastic Common Schema (ECS) Reference:
l https://www.elastic.co/guide/en/ecs/current/index.html
l Elastic Common Schema 简介:
l https://www.elastic.co/cn/blog/introducing-the-elastic-common-schema
l Elastic Common Schema网络研讨会:
l https://www.elastic.co/cn/webinars/introducing-the-elastic-common-schema
