Datamodell
Vi har valt att bygga datamodellen på standarden som heter “Elastic Common Schema”. Standarden är Open Source och kan fungera som mall för en datamodell som inte är kopplad till någon kommersiell datamodell, men ändå är enkel att mappa till en sådan.
Förenklad lösning
Fördelen att mappa flera liknande fält till ett enda för att till exempel beteckna en IP-adress från fler än ett ställe, syns tydligt i följande två exempel på sökning, där den första är komplex, men inte den andra:
src:10.42.42.42 OR client_ip:10.42.42.42 OR apache.access.remote_ip:10.42.42.42 OR context.user.ip:10.42.42.42 OR src_ip:10.42.42.42
Nu blir sökningen helt enkelt bara följande:
source.ip:10.42.42.42
Dela sparade sökningar
När man har kommit på en jättebra sökning, kan man dela den med andra och de kan enklare använda och förstå den, eftersom man använder färre fällt och de representerar samma sak för alla.
Visualisera loggdata
När man har färre antal fält att jobba med blir det enklare att visualisera loggdata, eftersom mer får plats i samma diagram.
Transformering av loggdata
Man behöver transformera och mappa inkommande fält automatiskt med hjälp av regler till de standardiserade fälten
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: