Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
中文
Entry № 372

Elastic Stack(ELK)

Elastic Stack(ELK) 是什么?

Elastic Stack(ELK)Elastic N.V. 提供的开源平台,将 Elasticsearch、Logstash、Kibana 与 Beats 组合,用于大规模采集、索引、搜索与可视化安全与运维日志。

Elastic Stack(早期称为 ELK)是 Elastic N.V. 开发的工具集,核心包括 Elasticsearch(基于 Lucene 的分布式搜索与分析引擎)、Logstash(服务端采集与解析流水线)、Kibana(可视化与仪表盘)以及 Beats(Filebeat、Winlogbeat、Auditbeat 等轻量级采集器)。自 2021 年起,核心代码采用 Elastic License 2.0 与 SSPL 双重许可,AWS 则以 Apache 2.0 派生出 OpenSearch 项目。安全团队通过 Elastic Security 将其用作 SIEM,获得预置检测规则、ATT&CK 映射、Elastic Agent、EDR(原 Endgame)以及 Elastic Cases 提供的 SOAR 功能。WazuhSecurity Onion 与许多 MDR 服务都构建在 Elastic 或 OpenSearch 之上。

示例

  1. 01

    用 Winlogbeat 将 Windows 事件日志发送至 Elasticsearch,触发 Elastic Security 检测规则。

  2. 02

    使用 Kibana Lens 构建按国家统计 SSH 登录失败的仪表盘。

常见问题

Elastic Stack(ELK) 是什么?

Elastic N.V. 提供的开源平台,将 Elasticsearch、Logstash、Kibana 与 Beats 组合,用于大规模采集、索引、搜索与可视化安全与运维日志。 它属于网络安全的 防御与运营 分类。

Elastic Stack(ELK) 是什么意思?

Elastic N.V. 提供的开源平台,将 Elasticsearch、Logstash、Kibana 与 Beats 组合,用于大规模采集、索引、搜索与可视化安全与运维日志。

Elastic Stack(ELK) 是如何工作的?

Elastic Stack(早期称为 ELK)是 Elastic N.V. 开发的工具集,核心包括 Elasticsearch(基于 Lucene 的分布式搜索与分析引擎)、Logstash(服务端采集与解析流水线)、Kibana(可视化与仪表盘)以及 Beats(Filebeat、Winlogbeat、Auditbeat 等轻量级采集器)。自 2021 年起,核心代码采用 Elastic License 2.0 与 SSPL 双重许可,AWS 则以 Apache 2.0 派生出 OpenSearch 项目。安全团队通过 Elastic Security 将其用作 SIEM,获得预置检测规则、ATT&CK 映射、Elastic Agent、EDR(原 Endgame)以及 Elastic Cases 提供的 SOAR 功能。Wazuh、Security Onion 与许多 MDR 服务都构建在 Elastic 或 OpenSearch 之上。

如何防御 Elastic Stack(ELK)?

针对 Elastic Stack(ELK) 的防御通常结合技术控制与运营实践,详见上方完整定义。

Elastic Stack(ELK) 还有哪些其他名称?

常见的别称包括: ELK, ELK 技术栈, Elastic SIEM。

相关术语