Elastic Stack 8 EP 1:組件及整體架構
Elastic Stack 8 整體架構
從Elastic Stack 7到最新的Elastic Stack 8,版本大曜進,但架構上並沒有太多的改變,仍然是以Elasticsearch為存放與計算的主體,透過Kibana做視覺化的應用,搭配各種收集資料的Beat,做廣泛的分析與反應。
各種Beat與核心組件的關係如下圖:
重要的核心組件
Elasticsearch
眾所周知,Elasticsearch是由Apache Lucene為基礎所打造的,是一個以全文檢索及搜尋為主要功能的開放原始碼程式庫,最新的Elasticsearch 8對應的是Apache Lucene 9,提供更高效率及更廣泛的處理資料,並加入更多AI及ML加值應用。作為Elastic Stack最重要的核心組件,Elasticsearch還承擔了資料存放與管理的重責大任,可以說,整個Elastic Stack就是根據Elasticsearch為基礎發展更多應用所堆疊出來的。
Kibana
操作Elasticsearch唯一的方式就是透過Elasticsearch提供的RESTful API介面,但操作Elasticsearch上所存放的資料,就必須要使用Kibana這套資料視覺化工具,而且還能利用Kibana分析處理資料,達到監控、告警…等功能,讓Elasticsearch不僅僅是資料儲存、檢索及搜尋的載體,而是對資料做更多加值應用。
Logstash
處理資料就需要一個強有力的工具,而Logstash就是為此而生,在資料進入Elasticsearch之前,可以使用Logstash作為緩衝或是ETL之用,讓資料在Elasticsearch更高效的處理資料;Logstash支援多種資料來源與資料目的,所以也時常被作為資料管線之用,功能多樣且資料介接能力豐富。
各種Beat
Metricbeat
負責收集各種作業系統上的效能資訊,諸如:CPU、Memory、Disk…等。
Filebeat
擁有多種接口,各種日誌的型態都能透過Filebeat處理後存入Elasticsearch。
Auditbeat
收集各種Security Log作為稽核與審計之用,搭配SIEM功能,可以全面的監控監控帳號的認證紀錄、不合規的存取…等。
Packetbeat
收集網路連線與流量資訊,分辨是HTTP、DNS、ICMP…等不同的用途,分析其是否為安全的。
Heartbeat
監控各種服務,如網頁服務、TCP通訊伺服器或各種可以用網路提供的服務,可以輕易地得知服務的即時狀態。
APM
全名是Application Performance Monitoring,顧名思義就是監控應用軟體的效能,相容於各種程式語言,讓效能問題或系統故障資訊無所遁尋。
Let’s Go
就讓我們開始吧,新的Elastic Stack 8,帶來更完整與豐富的功能。
~ END ~
