Introduction 介绍

Elastic Stack中的产品设计为一起使用,因此Stack中有通用术语。在特定产品或域中术语具有不同内涵的特殊情况下,这些差异在定义中注明。

Terminology 术语

@metadata 元数据

用于存储您不希望包含在输出事件中的内容的特殊字段。例如,@ metadata字段对于创建用于条件语句的临时字段很有用。

administration console 管理控制台

Elastic Cloud Enterprise的一个组件,为Cloud UI提供API服务器。还可以将ZooKeeper中的集群和分配器数据同步到Elasticsearch。

allocator 分配器

管理包含Elasticsearch和Kibana节点的主机。通过创建新容器并在请求时管理这些容器中的节点来控制这些节点的生命周期。用于扩展Elastic Cloud Enterprise安装的容量。

analysis 分析

分析是将全文转换为术语的过程。根据使用的分析器,这些短语:FOO BAR,Foo-Bar,foo,bar可能都会产生foo和bar这两个词。这些术语是实际存储在索引中的内容。

FoO:bAR的全文查询(非术语查询)也将分析为术语foo,bar,因此将匹配存储在索引中的术语。

正是这种分析过程(在索引时和搜索时)都允许Elasticsearch执行全文查询。

availability zone 可用区

包含与其他可用区隔离的Elastic Cloud Enterprise安装可用的资源,以防止出现故障。可以是机架,服务器区域或其他一些创建故障边界的逻辑约束。在高可用性群集中,群集的节点分布在两个或三个可用区域中,以确保群集可以在整个可用区域发生故障时继续运行。

beats runner

用于将Filebeat和Metricbeat信息发送到日志记录集群。

bucket

机器学习功能使用 bucket 的概念将时间序列分成批处理。存储桶跨度是作业的配置信息的一部分。它定义了用于汇总和建模数据的时间间隔。这通常在5分钟到1小时之间,具体取决于您的数据特征。设置存储区跨度时,请考虑要分析的粒度,输入数据的频率,异常的典型持续时间以及需要警报的频率。

client forwarder 客户转发器

用于Elastic Cloud Enterprise和ZooKeeper的各个组件之间的安全内部通信。

Cloud UI

提供基于Web的访问权限,以管理管理控制台支持的Elastic Cloud Enterprise安装。

cluster

群集由一个或多个共享相同群集名称的节点组成。每个群集都有一个主节点,由群集自动选择,如果当前主节点出现故障,可以替换该节点。

codec plugin 编解码器插件

Logstash插件,用于更改事件的数据表示形式。编解码器本质上是流过滤器,可以作为输入或输出的一部分。使用编解码器可以将消息传输与序列化过程分开。流行的编解码器包括json,msgpack和plain(text)。

conditional

基于语句(也称为条件)是真还是假来执行某些操作的控制流。Logstash支持if,else if和else语句。您可以使用条件语句来应用过滤器,并根据您指定的条件将事件发送到特定输出。

constructor

指示分配器管理Elasticsearch和Kibana节点的容器,并最大化分配器的利用率。监视器计划来自Cloud UI的更改请求,并确定如何转换现有群集。在高可用性安装中,将群集节点放置在不同的可用区域中,以确保群集可以在整个可用区域发生故障时继续运行。

container

包括Elastic Cloud Enterprise软件及其依赖项的实例。用于提供类似的环境,为节点分配有保证的主机资源份额,并简化Elastic Cloud Enterprise中的操作工作。

coordinator 协调

由一些Elastic Cloud Enterprise服务的逻辑分组组成,并充当分布式协调系统和资源调度程序。

cross-cluster replication(CCR) 跨群集复制

通过跨群集复制功能,您可以将远程群集中的索引复制到本地群集。有关更多信息,请参阅跨群集复制

cross-cluster earch(CCS) 跨群集搜索

跨群集搜索功能使任何节点都可以充当多个群集的联合客户端。请参阅跨群集搜索

datafeed

异常检测作业可以分析一次性数据或实时连续分析。Datafeeds从Elasticsearch检索数据以进行分析。或者,您可以将任何来源的数据直接发布到机器学习API。

detector 探测器

作为与异常检测作业相关联的配置信息的一部分,检测器定义了需要完成的分析类型。它们还指定要分析的字段。您可以在作业中使用多个检测器,这比针对相同数据运行多个作业更有效。

director

管理ZooKeeper数据存储区。此角色通常与协调员共享,但在生产部署中,它可以分开。

document

文档是存储在Elasticsearch中的JSON文档。它就像是关系数据库中表中的一行。每个文档都存储在index中,并具有type和ID。

文档是JSON对象(在其他语言中也称为散列/散列映射/关联数组),其包含零个或多个字段或键值对。

索引的原始JSON文档将存储在_source字段中,该字段在获取或搜索文档时默认返回。

Elastic Common Schema (ECS)

针对日志记录和度量标准等用例的Elasticsearch文档架构。ECS定义了一组通用字段及其数据类型,并提供了有关其正确用法的指导。ECS用于改善来自不同来源的事件数据的一致性。

event

单个信息单元,包含时间戳和附加数据。事件通过输入到达,随后被解析,加时间戳并通过Logstash pipeline 传递。

field

文档包含字段列表或键值对。值可以是简单(标量)值(例如,字符串,整数,日期),也可以是类似数组或对象的嵌套结构。字段类似于关系数据库中表中的列。

每个字段的映射都有一个字段类型(不要与文档类型混淆),它指示可以存储在该字段中的数据类型,例如整数,字符串,对象。映射还允许您定义(除其他事项外)应如何分析字段的值。

在Logstash中,该术语指的是事件属性。例如,apache访问日志中的每个事件都有属性,例如状态代码(200,404),请求路径(“/”,“index.html”),HTTP动词(GET,POST),客户端IP地址,等等。Logstash使用术语“字段”来引用这些属性。

field reference

对事件字段的引用。此引用可能出现在Logstash配置文件的输出块或过滤器块中。字段引用通常包含在方括号([])括号中,例如[fieldname]。如果您指的是顶级字段,则可以省略[]并只使用字段名称。要引用嵌套字段,请指定该字段的完整路径:[顶级字段] [嵌套字段]。

filter 过滤

过滤器是一种非评分查询,这意味着它不会对文档进行评分。它只关心回答这个问题 - “这份文件是否匹配?”。答案总是简单,二进制是或否。据说这种查询是在过滤器上下文中进行的,因此称为过滤器。过滤器是对集合包含或排除的简单检查。在大多数情况下,过滤的目标是减少必须检查的文档数量。

filter plugin 过滤插件

Logstash插件,用于对事件执行中介处理。通常,过滤器在通过输入,通过根据配置规则改变,丰富和/或修改数据来摄取事件数据之后对事件数据起作用。过滤器通常根据事件的特征有条件地应用。流行的过滤插件包括grok,mutate,drop,clone和geoip。过滤阶段是可选的。

follower index

follower 索引是跨群集复制的目标索引。它们存在于您的本地群集中并复制 follower 索引。

gem

一个独立的代码包,托管在RubyGems.org上。Logstash插件打包为Ruby Gems。您可以使用Logstash插件管理器来管理Logstash gem。

hot thread

具有高CPU使用率且执行时间超过正常时间的Java线程。

id

文档的ID标识文档。文档的 index/id 必须是唯一的。如果未提供ID,则会自动生成。

index

索引就像关系数据库中的表。它有一个包含类型的映射,其中包含索引中的字段。

索引是一个逻辑命名空间,它映射到一个或多个主分片,并且可以具有零个或多个副本分片。