ELK Stack: Unterschied zwischen den Versionen

Versionsgeschichte interaktiv durchsuchen

Zum nächsten Versionsunterschied →

VisuellWikitext

Version vom 13. Dezember 2023, 18:01 Uhr

ELK Stack

Eine bei vielen Anwendern beliebte Option ist ELK Stack.

Dabei handelt es sich um keine singuläre Lösung, sondern um ein Paket aus drei unterschiedlichen Open-Source-Tools, die zusammengenommen viele Funktionen bieten.
Sie heißen Elasticsearch, Logstash und Kibana.

Elasticsearch ist die Basis von ELK Stack.

Die Anwendung stellt die zentrale Engine zum Suchen und Analysieren der gesammelten Daten zur Verfügung.
Sie kann entweder auf einem nur relativ schwach ausgestatteten Rechner oder auch in einem Cluster mit 300 Nodes aufgesetzt werden.
Je nach Ausstattung und Konfiguration kann sie so auch Hunderte von PBytes an Daten indexieren.

Logstash ist die Komponente in ELK Stack, mit der sich die Log-Daten parsen lassen.

Das Tool kann Daten aus einer Vielzahl von Quellen beziehen.
Ein Beispiel sind etwa Logs, die auf mehreren Servern gespeichert sind.
Anschließend werden die Daten an Elasticsearch zum Indexieren übergeben.

Kibana ist dagegen eine BI-Engine (Business Intelligence).

Mit ihr ist es unter anderem möglich, Dashboards mit unterschiedlichsten Visualisierungen zu erstellen, um die vorhandenen Daten auszuwerten.
Neben dieser Fähigkeit, Daten zu visualisieren, nutzt Kibana außerdem Methoden aus dem Bereich Maschinelles Lernen, um Anomalien in den analysierten Daten zu entdecken.
Aus diesem Grund lässt sich ELK Stack auch als Werkzeug für Business Analytics einsetzen, obwohl es eigentlich eine Tool-Sammlung zum Überwachen und Verbessern der IT-Sicherheit ist.

Elasticsearch

"Elasticsearch"

Elasticsearch, vormals ELK Search, ist ein Paket von Software-Lösungen: ELK ist die Abkürzung der Komponentenprogramme Elasticsearch, Logstash und Kibana.

Im Grunde ist Elasticsearch eine leistungsstarke, vielseitige Suite, der jedoch einige wichtige Funktionen fehlen.

Logstash und Beats liefern die Protokolleinträge.

Beats sind schnelle, einfache Datenversand- und -erfassungseinträge, während Logstash diese Daten filtert und zahlreiche spezifische Plug-ins aktiviert.
Elasticsearch ist der Motor, der die Untersuchung von Daten betreibt, und Kibana sorgt für die visuelle Darstellung.

Für ein volles SIEM jedoch mangelt es Elasticsearch an wichtigen Funktionen.

Eine besondere Schwachstelle ist die Darstellung von Korrelationen, auch bietet es keine vorab eingestellten Warnmeldungen und kann von sich aus keine Ereignisverwaltung bereitstellen.
Mit seiner leistungsfähigen Architektur, Anpassungsfähigkeit und den Open-Source-Merkmalen ist es jedoch kaum verwunderlich, dass Elasticsearch dennoch recht mächtig ist und auch die Basis für andere in dieser Liste genannten Optionen bietet.

@@ Zeile 32: / Zeile 32: @@
 * Eine besondere Schwachstelle ist die Darstellung von Korrelationen, auch bietet es keine vorab eingestellten Warnmeldungen und kann von sich aus keine Ereignisverwaltung bereitstellen.
 * Mit seiner leistungsfähigen Architektur, Anpassungsfähigkeit und den Open-Source-Merkmalen ist es jedoch kaum verwunderlich, dass Elasticsearch dennoch recht mächtig ist und auch die Basis für andere in dieser Liste genannten Optionen bietet.
+[[Kategorie:SIEM]]