Dec 4th, 2019: [FR] Explorer Elastic Common Schema (ECS) avec Elasticsearch et Kibana

Introduction

=> Read the english version

Plusieurs ressources existent déjà, pour apprendre ECS. Bien sûr, il y la documentation officielle. Certains utilisateurs utilisent également l'export generated/csv/fields.csv. L'export CSV permet de visualiser rapidement tous les champs dans leur ensemble, ou encore d'importer le schéma dans une spreadsheet.

Saviez-vous qu'il est aussi possible d'importer ce CSV directement dans Elasticsearch?

Dans cet article, nous allons importer le CSV ainsi que ce dashboard:

Les étapes

Ce tutoriel nécessite Elasticsearch et Kibana 7.2 au minimum, idéalement 7.4 ou 7.5.

Importer les définitions de champs ECS

Téléchargez le CSV de la version 1.3.1, publiée récemment. Vous pouvez le faire en utilisant la page de generated/csv/fields.csv ou bien à votre terminal:

curl -O https://raw.githubusercontent.com/elastic/ecs/1.3/generated/csv/fields.csv

Ensuite ouvrez Kibana dans l'onglet "Machine Learning", puis dans le menu "Data Visualizer". Cette fonctionnalité est disponible gratuitement, via la license "Basic".

Importez le fichier fields.csv.

Si vous utilisez 7.4 ou plus récent, à l'écran "File Contents" vous pouvez immédiatement sélectionner "Import".

Par contre si vous utilisez 7.2 ou 7.3, assurez-vous d'aller dans "Override Settings", sélectionner "Has header row" et appliquer le changement. La section "File stats" devrait désormais afficher les bons titres de colonne. Vous pouvez désormais sélectionner "Import".

Dans la vue "Import data", choisissez l'onglet "Advanced".

  1. Nommez l'index "schema-explorer"
  2. Désélectionnez "Create index pattern"
  3. Remplacez tout le contenu de la section "Mappings" par le suivant:
{
  "Description": {
    "type": "keyword",
    "fields": { "text": { "type": "text" } }
  },
  "ECS_Version": {
    "type": "keyword"
  },
  "Example": {
    "type": "keyword"
  },
  "Field": {
    "type": "keyword"
  },
  "Field_Set": {
    "type": "keyword"
  },
  "Indexed": {
    "type": "boolean"
  },
  "Level": {
    "type": "keyword"
  },
  "Type": {
    "type": "keyword"
  }
}

La page devrait ressembler à ceci:

Finalement, cliquez le bouton "Import". Les définitions de champs sont maintenant importées dans l'index "schema-explorer".

Importer le dashboard

Visitez ce gist et téléchargez le fichier schema-explorer.ndjson.

Dans "Kibana Management" section "Saved Objects", importez le fichier schema-explorer.ndjson.

Voilà! Vous pouvez maintenant aller voir le dashboard "Schema Explorer".

2 Likes

Super tuto! Merci beaucoup!

1 Like