Los índices son una parte importante de Elasticsearch. Cada índice mantiene sus conjuntos de datos separados y organizados, lo que le brinda la flexibilidad de tratar cada conjunto de manera diferente, además de simplificar la administración de los datos a lo largo de su ciclo de vida. Y Elastic hace que sea fácil aprovechar al máximo los índices al ofrecer métodos de ingesta y herramientas de administración para simplificar el proceso.

¿Qué es Filebeat?

Filebeat es un cargador liviano para registros que viene con muchos módulos integrados para recopilar, analizar y administrar datos de múltiples fuentes de datos a Elasticsearch sin problemas. Estos módulos, que vienen con paneles de Kibana prediseñados, están disponibles para una amplia variedad de sistemas, servicios y aplicaciones .

Una sola instancia de Filebeat es versátil y puede recopilar datos de múltiples fuentes de datos. Ayuda a los usuarios a ahorrar horas (si no días) de análisis, configuración de plantillas de índice y gestión de datos. De forma predeterminada, los datos de todas las fuentes diferentes se envían al mismo índice de Elasticsearch, lo que permite a los usuarios filtrar las fuentes de datos con el event.modulecampo. Si bien este comportamiento hace que comenzar con Filebeat sea más fácil, existen múltiples casos de uso que se beneficiarían al almacenar datos similares en múltiples índices, como:

1. Aplicar diferentes políticas de retención de datos a diferentes fuentes de datos. Por ejemplo, es posible que los datos de VPC y firewall deban conservarse durante un año, mientras que los datos de IIS solo deben almacenarse en el clúster durante un mes.
2. Hacer que solo un subconjunto de datos esté disponible para una aplicación o panel. Por ejemplo, los analistas de seguridad pueden preocuparse por el firewall y los datos de la red, pero probablemente no por los datos de Redis o Kafka.
3. Asignar fácilmente acceso a los datos a los usuarios que necesitan acceder a un subconjunto de datos. Por ejemplo, es posible que los miembros del equipo de soporte solo necesiten acceder a IIS pero no a conjuntos de datos de Tomcat. Para lograr esto, el administrador de Elastic podría considerar la seguridad a nivel de documento , pero este enfoque es más complejo y tiene más margen para errores humanos.

Nota completa desde el Blog de Elastic, clic en el enlace.