Elastic Stack(ELK)
Elastic Stack(ELK) 是什么?
Elastic Stack(ELK)Elastic N.V. 提供的开源平台,将 Elasticsearch、Logstash、Kibana 与 Beats 组合,用于大规模采集、索引、搜索与可视化安全与运维日志。
Elastic Stack(早期称为 ELK)是 Elastic N.V. 开发的工具集,核心包括 Elasticsearch(基于 Lucene 的分布式搜索与分析引擎)、Logstash(服务端采集与解析流水线)、Kibana(可视化与仪表盘)以及 Beats(Filebeat、Winlogbeat、Auditbeat 等轻量级采集器)。自 2021 年起,核心代码采用 Elastic License 2.0 与 SSPL 双重许可,AWS 则以 Apache 2.0 派生出 OpenSearch 项目。安全团队通过 Elastic Security 将其用作 SIEM,获得预置检测规则、ATT&CK 映射、Elastic Agent、EDR(原 Endgame)以及 Elastic Cases 提供的 SOAR 功能。Wazuh、Security Onion 与许多 MDR 服务都构建在 Elastic 或 OpenSearch 之上。
● 示例
- 01
用 Winlogbeat 将 Windows 事件日志发送至 Elasticsearch,触发 Elastic Security 检测规则。
- 02
使用 Kibana Lens 构建按国家统计 SSH 登录失败的仪表盘。
● 常见问题
Elastic Stack(ELK) 是什么?
Elastic N.V. 提供的开源平台,将 Elasticsearch、Logstash、Kibana 与 Beats 组合,用于大规模采集、索引、搜索与可视化安全与运维日志。 它属于网络安全的 防御与运营 分类。
Elastic Stack(ELK) 是什么意思?
Elastic N.V. 提供的开源平台,将 Elasticsearch、Logstash、Kibana 与 Beats 组合,用于大规模采集、索引、搜索与可视化安全与运维日志。
如何防御 Elastic Stack(ELK)?
针对 Elastic Stack(ELK) 的防御通常结合技术控制与运营实践,详见上方完整定义。
Elastic Stack(ELK) 还有哪些其他名称?
常见的别称包括: ELK, ELK 技术栈, Elastic SIEM。